Compartilhar via


New-CsKerberosAccountAssignment

 

Tópico modificado em: 2012-04-23

Atribui uma conta Kerberos, usada na autenticação nos Serviços de Informações da Internet (IIS), a um site.

Sintaxe

New-CsKerberosAccountAssignment -Identity <XdsIdentity> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-InMemory <SwitchParameter>] [-UserAccount <String>] [-WhatIf [<SwitchParameter>]]

Descrição Detalhada

No Microsoft Office Communications Server 2007 e no Microsoft Office Communications Server 2007 R2, os IIS são executados em uma conta de usuário padrão. Isto podia causar alguns problemas: se a senha tivesse expirado, você poderia perder o Serviços Web, um problema que geralmente era difícil de diagnosticar. Para ajudar a evitar o problema de expiração de senhas, o Microsoft Lync Server 2010 permite criar uma conta de computador (em um computador inexistente), que pode servir como principal autenticação de todos os computadores no site que estiverem executando os IIS. Como essas contas utilizam o protocolo de autenticação Kerberos, elas são referidas como contas Kerberos e o novo processo de autenticação é conhecido como autenticação Kerberos de Web. Isso permite gerenciar todos os servidores IIS usando uma única conta.

Para que os servidores sejam executados com esta nova principal autenticação, deve-se inicialmente criar uma conta de computador utilizando o cmdlet New-CsKerberosAccount; esta conta será então atribuída a um ou mais sites. Depois que as atribuições tiverem sido feitas, habilita-se a associação entre a conta e o site Lync Server 2010, executando-se o cmdlet Enable-CsTopology. Entre outras coisas, este procedimento cria o nome principal de serviço (SPN) desejado no Serviços de Domínio Active Directory (AD DS). Os SPNs proporcionam aos aplicativos cliente uma maneira de localizar um determinado serviço.

O cmdlet New-CsKerberosAccountAssignment permite atribuir uma conta Kerberos a um site que não esteja associado a uma conta. Para alterar um site que já estiver associado a uma conta Kerberos, utilize, em vez disso, o cmdlet Set-CsKerberosAccountAssignment.

Quem pode executar este cmdlet: Por padrão, membros dos seguintes grupos estão autorizados a executar o cmdlet New-CsKerberosAccountAssignment localmente: RTCUniversalServerAdmins. Para retornar uma lista de todas as funções de controle de acesso baseado em função (RBAC) às quais este cmdlet tiver sido atribuído (inclusive qualquer função RBAC personalizada que tiver sido criada por você), execute o seguinte comando no prompt do Windows PowerShell:

Get-CsAdminRole | Where-Object {$_.Cmdlets –match "New-CsKerberosAccountAssignment"}

Parâmetros

Parâmetro Obrigatório Tipo Descrição

Identity

Obrigatório

Cadeia de caracteres

Identificador exclusivo do site ao qual será atribuída a conta Kerberos. (esta é a Identity do site, e não a da conta do computador). Por exemplo: -Identity "site:Redmond".

UserAccount

Obrigatório

Cadeia de caracteres

Nome da conta a ser atribuída, usando o o formato nome_do_domínio\nome_de_usuário. Por exemplo: -UserAccount "litwareinc\kerberostest". A parte do nome do usuário da conta (kerberostet) é um nome NETBIOS e pode conter um máximo de 15 caracteres.

Observe que, apesar do nome UserAccount, a conta é realmente uma conta de computador, e não de usuário.

Force

Opcional

Parâmetro de opção

Suprime a exibição de qualquer mensagem de erro não-fatal que possa ocorrer durante a execução do comando.

InMemory

Opcional

Parâmetro de opção

Cria uma referência de objeto, sem na verdade executar o objeto como uma alteração permanente. Se a saída deste cmdlet for atribuída, chamando-o com este parâmetro a uma variável, você poderá realizar alterações às propriedades da referência do objeto e executar estas alterações, chamando-se o cmdlet coincidente Set- deste cmdlet.

WhatIf

Opcional

Parâmetro de opção

Descreve o que aconteceria se o comando fosse executado sem ser executado de fato.

Confirm

Opcional

Solicita confirmação antes da execução do comando.

Tipos de Entrada

Nenhuma. New-CsKerberosAccountAssignment não aceita entradas canalizadas.

Tipos de Retorno

New-CsKerberosAccountAssignment cria novas instâncias do objeto Microsoft.Rtc.Management.WritableConfig.Settings.KerberosAccount.KerberosAccountAssignment.

Exemplo

-------------------------- Exemplo 1 ------------------------

New-CsKerberosAccountAssignment -UserAccount "litwareinc\kerberostest" -Identity "site:Redmond"
Enable-CsTopology

Os comandos apresentados no Exemplo 1 atribuem uma conta Kerberos (litwareinc\kerberostest) ao site de Redmond e, em seguida, chama Enable-CsTopology para habilitar essa atribuição. Para isso, o primeiro comando no exemplo usa o cmdlet New-CsKerberosAccountAssignment, para associar a conta "litwareinc\kerberostest" ao site de Redmond. A seguir, o segundo comando chama o cmdlet Enable-CsTopology, para criar o SPN exigido no AD DS e habilitar a nova atribuição.