Set-CsKerberosAccountAssignment
Tópico modificado em: 2012-04-23
Associa uma conta Kerberos, usada para autenticação do IIS, a um site.
Sintaxe
Set-CsKerberosAccountAssignment [-Identity <XdsIdentity>] [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-UserAccount <String>] [-WhatIf [<SwitchParameter>]]
Set-CsKerberosAccountAssignment [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-Instance <PSObject>] [-UserAccount <String>] [-WhatIf [<SwitchParameter>]]
Descrição Detalhada
No Microsoft Office Communications Server 2007 e no Microsoft Office Communications Server 2007 R2, o IIS era executado sob uma conta de usuário padrão. Isso poderia causar problemas: se a senha expirasse, você poderia perder seu Serviços Web, um problema muitas vezes difícil de diagnosticar. Para ajudar a evitar o problema de senhas que expiram, o Microsoft Lync Server 2010 permite a criação de uma conta de computador (para um computador que não existe de verdade) que pode servir como entidade de segurança de autenticação de todos os computadores em um site que executem o IIS. Como essas contas usam o protocolo de autenticação Kerberos, elas são conhecidas como contas Kerberos, e o novo processo de autenticação é conhecido como autenticação Web Kerberos. Isso permite o gerenciamento de todos os seus servidores do IIS usando uma conta única.
Para executar seus servidores Web sob essa nova entidade de segurança de autenticação, comece criando uma conta de computador usando o cmdlet New-CsKerberosAccount; essa conta será atribuída a um ou mais sites. Depois de feita a atribuição, a associação entre a conta e o site do Lync Server 2010 é habilitada com a execução do cmdlet Enable-CsTopology. Dentre outras coisas, isso cria o SPN (nome da entidade de serviço) necessário no Serviços de Domínio Active Directory (AD DS). Os SPNs oferecem uma maneira de os aplicativos cliente localizarem um serviço específico.
O cmdlet Set-CsKerberosAccountAssignment permite alterar a conta Kerberos atribuída a um site específico. Este cmdlet é usado com sites que já estão associados a uma conta. Para atribuir uma conta a um site que não esteja associado no momento a uma conta Kerberos, use o cmdlet New-CsKerberosAccountAssignment.
Quem pode executar este cmdlet: Por padrão, membros dos seguintes grupos estão autorizados a executar o cmdlet Set-CsKerberosAccountAssignment localmente: RTCUniversalServerAdmins. Para retornar uma lista de todas as funções do RBAC (controle de acesso baseado na função) atribuídas a este cmdlet (incluindo eventuais funções personalizadas do RBAC que você mesmo tenha criado), execute o comando a seguir no prompt do Windows PowerShell:
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Set-CsKerberosAccountAssignment"}
Parâmetros
| Parâmetro | Obrigatório | Tipo | Descrição |
|---|---|---|---|
Identity |
Obrigatório |
Cadeia de caracteres |
Identificador único do site no qual a conta Kerberos foi atribuída. (É a identidade do site, e não a da conta do computador.) Por exemplo: -Identity "site:Redmond". |
UserAccount |
Obrigatório |
Cadeia de caracteres |
Nome de conta da conta a ser atribuída, usando o formato nome_de_domínio\nome_de_usuário. Por exemplo: -UserAccount "litwareinc\kerberostest". A parte do nome do usuário da conta (kerberostest) é um nome NETBIOS e pode conter no máximo 15 caracteres. Observe que, apesar do nome UserAccount, a conta é na verdade uma conta do computador, e não uma conta de usuário. |
Instance |
Opcional |
Objeto KerberosAccountAssignment |
Permite passar uma referência a um objeto para o cmdlet, em vez de definir valores de parâmetros individuais. |
Force |
Opcional |
Parâmetros de opção |
Suprime a exibição de mensagens de erro não fatais que possam ocorrer na execução do comando. |
WhatIf |
Opcional |
Parâmetros de opção |
Descreve o que aconteceria se o comando fosse executado sem ser executado de fato. |
Confirm |
Opcional |
Parâmetros de opção |
Solicita confirmação antes da execução do comando. |
Tipos de Entrada
Objeto Microsoft.Rtc.Management.WritableConfig.Settings.KerberosAccount.KerberosAccountAssignment. Set-CsKerberosAccountAssignment aceita instâncias em pipeline do objeto de atribuição da conta Kerberos.
Tipos de Retorno
Set-CsKerberosAccountAssignment não retorna nenhum objeto ou valor. Em vez disso, o cmdlet modifica instâncias existentes do objeto Microsoft.Rtc.Management.WritableConfig.Settings.KerberosAccount.KerberosAccountAssignment.
Exemplo
-------------------------- Exemplo 1 ------------------------
Set-CsKerberosAccountAssignment -UserAccount "litwareinc\keberostest" -Identity "site:Redmond"
Enable-CsTopology
Os comandos mostrados no Exemplo 1 associam uma conta Kerberos existente (litwareinc\keberostest) ao site Redmond e depois usam Enable-CsTopology para habilitar a nova associação. Para fazer isso, o primeiro comando do exemplo usa Set-CsKerberosAccountAssignment para associar a conta litwareinc\keberostest ao site Redmond; o segundo comando chama Enable-CsTopology para criar o nome da entidade de serviço exigido no Active Directory e para habilitar a atribuição de conta modificada.
Consulte Também
Outros Recursos
Get-CsKerberosAccountAssignment
New-CsKerberosAccount
New-CsKerberosAccountAssignment
Remove-CsKerberosAccountAssignment