Remove-CsKerberosAccountAssignment
Ultima modifica dell'argomento: 2012-03-25
Consente di rimuovere una o più assegnazioni dell'account Kerberos.
Sintassi
Remove-CsKerberosAccountAssignment -Identity <XdsIdentity> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-WhatIf [<SwitchParameter>]]
Descrizione dettagliata
In Microsoft Office Communications Server 2007 e Microsoft Office Communications Server 2007 R2, viene eseguito con un account utente standard. Ciò può causare problemi: se la password scade è possibile che si perdano i servizi servizi Web, un problema spesso difficile da diagnosticare. Per evitare il problema della scadenza delle password, Microsoft Lync Server 2010 consente di creare un account computer (per un computer che in effetti non esiste) da utilizzare come entità di autenticazione per tutti i computer in un sito che eseguono IIS. Poiché questi account utilizzano il protocollo di autenticazione Kerberos, vengono denominati account Kerberos e il nuovo processo di autenticazione è noto come autenticazione Web Kerberos. In questo modo è possibile gestire tutti i server IIS utilizzando un singolo account.
Per eseguire i server in uso con questa nuova entità di autenticazione, è necessario in primo luogo creare un account del computer (non collegato al computer effettivo) mediante il cmdlet New-CsKerberosAccount; tale account viene quindi assegnato a uno o più siti. Una volta effettuata l'assegnazione, l'associazione viene abilitata eseguendo il cmdlet Enable-CsTopology; ciò consente, fra le altre cose, di creare il nome SPN (Service Principal Name) richiesto in Servizi di dominio Active Directory. I nomi SPN offrono alle applicazioni client un mezzo per individuare un particolare servizio.
Ogni sito Lync Server 2010 può essere associato al massimo con un unico account Kerberos. Tuttavia, ogni account può essere associato a più siti. È possibile utilizzare il cmdlet Remove-CsKerberosAccountAssignment in qualsiasi momento per rimuovere l'associazione fra un sito e un account. Questo cmdlet non elimina l'account in questione, semplicemente, permette l'associazione fra l'account e il sito, disabilitando di fatto l'autenticazione Web Kerberos per quel sito.
Dopo aver eseguito Remove-CsKerberosAccountAssignment, è necessario eseguire Enable-CsTopology. In questo modo si rimuove il nome SPN dell'account da Active Directory e si disabilita completamente l'autenticazione Web Kerberos.
Utenti che possono eseguire questo cmdlet: per impostazione predefinita, i membri dei gruppi seguenti sono autorizzati a eseguire il cmdlet Remove-CsKerberosAccountAssignment in locale: RTCUniversalServerAdmins. Per restituire un elenco di tutti i ruoli del controllo di accesso basato sui ruoli (RBAC) ai quali è stato assegnato questo cmdlet (inclusi eventuali ruoli RBAC personalizzati creati dall'utente), eseguire il comando seguente dal prompt di Windows PowerShell:
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Remove-CsKerberosAccountAssignment"}
Parametri
| Parametro | Obbligatorio | Tipo | Descrizione |
|---|---|---|---|
Identity |
Obbligatorio |
Stringa |
Identificatore univoco del sito per cui si desidera rimuovere l'assegnazione dell'account Kerberos. Si tratta dell'identità del sito, non dell'account Kerberos. Ad esempio: -Identity "site:Redmond". |
Force |
Facoltativo |
Parametro opzionale |
Se presente, consente di ignorare tutti i messaggi di errore ad eccezione dei messaggi di errori irreversibili. |
WhatIf |
Facoltativo |
Parametro opzionale |
Descrive ciò che accadrebbe se si eseguisse il comando senza eseguirlo realmente. |
Confirm |
Facoltativo |
Parametro opzionale |
Viene visualizzata una richiesta di conferma prima di eseguire il comando. |
Tipi di input
Oggetto Microsoft.Rtc.Management.WritableConfig.Settings.KerberosAccount.KerberosAccountAssignment. Remove-CsKerberosAccountAssignment accetta istanze inviate tramite pipe dell'oggetto di assegnazione account Kerberos.
Tipi restituiti
Nessuno. Remove-CsKerberosAccountAssignment non restituisce alcun valore o oggetto. In realtà il cmdlet elimina le istanze dell'oggetto Microsoft.Rtc.Management.WritableConfig.Settings.KerberosAccount.KerberosAccountAssignment.
Esempio
-------------------------- Esempio 1 ------------------------
Remove-CsKerberosAccountAssignment -Identity "site:Redmond"
Enable-CsTopology
Il comando precedente rimuove l'assegnazione dell'account Kerberos dal sito Redmond, quindi esegue la chiamata a Enable-CsTopology per completare la disabilitazione dell'autenticazione Web Kerberos.
-------------------------- Esempio 2 ------------------------
Get-CsKerberosAccountAssignment | Remove-CsKerberosAccountAssignment
Enable-CsTopology
Nell'esempio 2 vengono eliminate tutte le assegnazioni dell'account Kerberos attualmente in uso. A questo scopo, il primo comando chiama Get-CsKerberosAccountAssignment, senza parametri, per restituire una raccolta di tutte le assegnazioni dell'account Kerberos. La raccolta viene quindi inviata tramite pipe a Remove-CsKerberosAccountAssignment, che elimina tutte le assegnazioni della raccolta. Al termine di questa operazione, il secondo comando dell'esempio chiama Enable-CsTopology per completare la disabilitazione dell'autenticazione Web Kerberos.
Vedere anche
Ulteriori risorse
Get-CsKerberosAccountAssignment
New-CsKerberosAccountAssignment
Set-CsKerberosAccountAssignment