Remove-CsKerberosAccountAssignment
上一次修改主题: 2012-03-25
删除一个或多个 Kerberos 帐户分配。
语法
Remove-CsKerberosAccountAssignment -Identity <XdsIdentity> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-WhatIf [<SwitchParameter>]]
详细说明
在 Microsoft Office Communications Server 2007 和 Microsoft Office Communications Server 2007 R2 中,IIS 使用标准用户帐户运行。这有可能会导致问题:如果该密码过期,您可能无法使用 Web 服务,此问题通常难于诊断。为了帮助避免出现密码过期的问题,您可以通过 Microsoft Lync Server 2010 创建一个计算机帐户(用于实际上不存在的计算机),该帐户可充当站点中正运行 IIS 的所有计算机的身份验证主体。由于这些帐户使用 Kerberos 身份验证协议,因此称为 Kerberos 帐户,并且新的身份验证过程称为 Kerberos Web 身份验证。使您可以使用单个帐户管理所有 IIS 服务器。
要使用此新的身份验证主体运行服务器,必须首先使用 New-CsKerberosAccount cmdlet 创建一个计算机帐户(该帐户同样没有绑定到实际计算机);然后,将此帐户分配给一个或多个站点。完成分配后,可通过运行 Enable-CsTopology cmdlet 来启用关联;此操作的功能之一是可在 Active Directory 域服务 (AD DS) 中创建必需的服务主体名称 (SPN)。SPN 为客户端应用程序提供了一种查找特定服务的方法。
每个 Lync Server 2010 站点至多可与一个 Kerberos 帐户关联。(但是,每个帐户可与多个站点关联。)您随时可以使用 Remove-CsKerberosAccountAssignment cmdlet 删除站点与帐户之间的关联。此 cmdlet 不会删除相关帐户,而只是处理帐户与站点之间的关联,以便有效地禁用该站点中的 Kerberos Web 身份验证。
请注意,运行 Remove-CsKerberosAccountAssignment 之后,必须接着运行 Enable-CsTopology。这可将帐户的服务主体名称从 Active Directory 中删除,并完成对 Kerberos Web 身份验证的禁用。
谁能运行此 cmdlet:默认情况下,以下各组的成员有权在本地运行 Remove-CsKerberosAccountAssignment cmdlet:RTCUniversalServerAdmins。要返回分配了此 cmdlet 的所有基于角色的访问控制 (RBAC) 角色列表(包括您自己创建的任何自定义 RBAC 角色),请从 Windows PowerShell 提示符处运行以下命令:
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Remove-CsKerberosAccountAssignment"}
参数
参数 | 必需 | 类型 | 描述 |
---|---|---|---|
Identity |
必需 |
字符串 |
要删除 Kerberos 帐户分配的站点的唯一标识符。(这是站点的标识,而不是 Kerberos 帐户的标识。)例如:-Identity "site:Redmond"。 |
Force |
可选 |
开关参数 |
当此参数存在时,将禁止显示除致命错误外的所有错误消息。 |
WhatIf |
可选 |
开关参数 |
描述如果执行命令会发生什么情况(无需实际执行命令)。 |
Confirm |
可选 |
开关参数 |
在执行命令之前提示您进行确认。 |
输入类型
Microsoft.Rtc.Management.WritableConfig.Settings.KerberosAccount.KerberosAccountAssignment 对象。Remove-CsKerberosAccountAssignment 接受通过管道传递的 Kerberos 帐户分配对象的实例。
返回类型
无。Remove-CsKerberosAccountAssignment 不会返回任何对象或值。此 cmdlet 会删除 Microsoft.Rtc.Management.WritableConfig.Settings.KerberosAccount.KerberosAccountAssignment 对象的现有实例。
示例
-------------------------- 示例 1 --------------------------
Remove-CsKerberosAccountAssignment -Identity "site:Redmond"
Enable-CsTopology
上述命令从 Redmond 站点删除 Kerberos 帐户分配,然后调用 Enable-CsTopology 以完成对 Kerberos Web 身份验证的禁用。
-------------------------- 示例 2 --------------------------
Get-CsKerberosAccountAssignment | Remove-CsKerberosAccountAssignment
Enable-CsTopology
在示例 2 中,将删除当前使用的所有 Kerberos 帐户分配。为执行此操作,第一个命令调用 Get-CsKerberosAccountAssignment(不带任何参数),以返回所有 Kerberos 帐户分配的集合。然后,将该集合通过管道传递到 Remove-CsKerberosAccountAssignment,后者会删除集合中的每个分配。完成后,此示例中的第二个命令调用 Enable-CsTopology 以完成对 Kerberos Web 身份验证的禁用。