Revoke-CsClientCertificate
Ultima modifica dell'argomento: 2012-03-27
I certificati client forniscono un mezzo per autenticare gli utenti quando accedono a Microsoft Lync Server 2010. I certificati sono particolarmente utili per i telefoni e altri dispositivi che eseguono Microsoft Lync 2010 Phone Edition dove è difficoltoso inserire un nome utente e/o una password. Revoke-CsClientCertificate fornisce agli amministratori la possibilità di revocare un certificato client emesso per un utente.
Sintassi
Revoke-CsClientCertificate -Identity <UserIdParameter> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-WhatIf [<SwitchParameter>]]
Descrizione dettagliata
I certificati client costituiscono una alternativa per gli utenti per essere autenticati da Lync Server 2010. Invece di fornire nome utente e password, l'utente fornisce al sistema un certificato X.509. Questo certificato deve avere un nome soggetto o un nome soggetto alternativo che identifica l'utente. Ai fini dell'autenticazione, gli utenti devono digitare unicamente un numero PIN; agli utenti di telefoni cellulari risulta di certo più semplice digitare un numero PIN piuttosto che un nome utente e/o una password alfanumerici.
In qualunque momento gli amministratori possono revocare un certificato client emesso per un utente, ciò viene fatto usando il cmdlet Revoke-CsClientCertificate. Revoke-CsClientCertificate elimina tutti i certificati client emessi dal server per quell'utente.
Revoke-CsClientCertificate non elimina i certificati dal dispositivo client, i certificati vengono eliminati solo dal server. Comunque, questo è tutto ciò che è necessario per impedire ad un utente di utilizzare i certificati per farsi autenticare: se un certificato non viene trovato sul server, la richiesta di autenticazione viene rifiutata.
Si noti che, per impostazione predefinita, le eccezioni firewall per SQL Server Express non sono abilitate quando si installa la versione Standard Edition di Lync Server 2010. Ciò significa che non sarà possibile utilizzare il cmdlet Revoke-CsClientCertificate da un'istanza remota di Windows PowerShell perché il comando non è in grado di attraversare il firewall e accedere al database di SQL Server Express. Tuttavia, è sempre possibile eseguire il cmdlet localmente, cioè sul server Standard Edition stesso. Se si sta utilizzando la versione Standard Edition ed è necessario utilizzare Revoke-CsClientCertificate remotamente è necessario abilitare manualmente le eccezioni del firewall per SQL Server Express.
Utenti autorizzati a utilizzare questo cmdlet: per impostazione predefinita, il cmdlet Revoke-CsClientCertificate può essere utilizzato localmente dai membri dei seguenti gruppi: RTCUniversalServerAdmins. Per ottenere un elenco di tutti i ruoli RBAC (controllo dell'accesso basato sui ruoli) a cui è stato assegnato questo cmdlet (inclusi eventuali ruoli RBAC personalizzati), utilizzare il seguente comando dal prompt di Windows PowerShell:
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Revoke-CsClientCertificate"}
Parametri
| Parametro | Obbligatorio | Tipo | Descrizione |
|---|---|---|---|
Identity |
Obbligatorio |
User Identity |
Indica l'identità dell'account utente i cui certificati devono essere revocati. Le identità utente possono essere specificate con uno dei quattro formati riportati di seguito: 1) l'indirizzo SIP (Session Initiation Protocol) dell'utente; 2) il nome dell'entità utente (UPN); 3) il nome del dominio e il nome di accesso dell'utente nel formato dominio\accesso (ad esempio, litwareinc\davidegarghentini); 4) il nome visualizzato Active Directory dell'utente (ad esempio, Davide Garghentini). Alle identità utente è anche possibile fare riferimento utilizzando il nome distinto Active Directory dell'utente. |
Force |
Facoltativo |
Parametro opzionale |
Consente di evitare la visualizzazione di qualunque messaggio di errore non grave che potrebbe essere generato nel corso dell'esecuzione del comando. |
WhatIf |
Facoltativo |
Parametro opzionale |
Descrive ciò che accadrebbe se si eseguisse il comando senza eseguirlo realmente. |
Confirm |
Facoltativo |
Parametro opzionale |
Viene visualizzata una richiesta di conferma prima di eseguire il comando. |
Tipi di input
Stringa o oggetto Microsoft.Rtc.Management.ADConnect.Schema.ADUser. Revoke-CsClientCertificate accetta gli input tramite pipeline dei valori stringa che rappresentano l'identità di un account utente. Il cmdlet accetta anche gli input tramite pipeline degli oggetti utente.
Tipi restituiti
Nessuno. Invece, Revoke-CsClientCertificate consente di revocare le istanze dell'oggetto Microsoft.Rtc.Management.UserPinService.CertInfoDetails.
Esempio
-------------------------- Esempio 1 --------------------------
Revoke-CsClientCertificate -Identity "Ken Myer"
Il comando riportato nell'Esempio 1 consente di revocare tutti i certificati client attualmente assegnati a Davide Garghentini; per ottenere questo risultato, il comando utilizza il cmdlet Revoke-CsClientCertificate seguito dall'identità dell'utente i cui certificati devono essere revocati.
-------------------------- Esempio 2 ------------------------
Get-CsUser | Revoke-CsClientCertificate
Nell'Esempio 2 vengono revocati tutti i certificati client emessi nell'organizzazione. Per ottenere questo risultato, viene utilizzato Get-CsUser per ottenere una raccolta di tutti gli utenti che sono stati abilitati per Lync Server. Questa raccolta viene inviata tramite pipe al cmdlet Revoke-CsClientCertificate che elimina i certificati di ogni utente nella raccolta.