Set-CsKerberosAccountAssignment
Dernière rubrique modifiée : 2012-04-23
Associe un compte Kerberos qui est utilisé pour l’authentification IIS (Internet Information Services) à un site.
Syntaxe
Set-CsKerberosAccountAssignment [-Identity <XdsIdentity>] [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-UserAccount <String>] [-WhatIf [<SwitchParameter>]]
Set-CsKerberosAccountAssignment [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-Instance <PSObject>] [-UserAccount <String>] [-WhatIf [<SwitchParameter>]]
Description détaillée
Dans Microsoft Office Communications Server 2007 et Microsoft Office Communications Server 2007 R2, IIS était exécuté sous un compte d’utilisateur standard, ce qui pouvait poser plusieurs problèmes potentiels : en cas d’expiration du mot de passe, vous pouviez perdre vos services Web, problème généralement difficile à identifier. Afin d’éviter la question des mots de passe arrivant à expiration, Microsoft Lync Server 2010 permet à présent de créer un compte d’ordinateur (pour un ordinateur qui n’existe pas réellement) pouvant servir de nom principal d’authentification pour tous les ordinateurs d’un site qui exécutent IIS. Parce que ces comptes utilisent le protocole d’authentification Kerberos, les comptes sont désignés en qualité de comptes Kerberos et le nouveau processus d’authentification est désigné sous le nom d’authentification Web Kerberos. Vous pouvez ainsi gérer tous vos serveurs IIS à l’aide d’un seul et même compte.
Pour pouvoir exécuter vos serveurs sous ce nouveau nom principal d’authentification, vous devez créer un compte d’ordinateur au moyen de la cmdlet New-CsKerberosAccount, le compte étant ensuite affecté à un ou plusieurs sites. Une fois l’affectation effectuée, l’association entre le compte et le site de Lync Server 2010 est activée en exécutant la cmdlet Enable-CsTopology. Cette opération crée, entre autres, le nom principal de service (SPN) dans services de domaine Active Directory (AD DS). Les SPN permettent aux applications clientes de rechercher un service particulier.
La cmdlet Set-CsKerberosAccountAssignment vous permet de modifier le compte Kerberos affecté à un site donné. Cette cmdlet est utilisée pour les sites qui sont déjà associés à un compte. Pour affecter un compte à un site qui n’est pas actuellement associé à un compte Kerberos, utilisez plutôt la cmdlet New-CsKerberosAccountAssignment.
Personnes autorisées à exécuter cette cmdlet : Par défaut, les membres des groupes qui suivent sont autorisés à exécuter localement la cmdlet Set-CsKerberosAccountAssignment : RTCUniversalServerAdmins. Pour retourner une liste de tous les rôles RBAC (Contrôle d’accès basé sur un rôle) auxquels cette cmdlet a été affectée (y compris les rôles RBAC personnalisés créés par vos soins), exécutez la commande suivante à l’invite Windows PowerShell :
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Set-CsKerberosAccountAssignment"}
Paramètres
| Paramètre | Obligatoire | Type | Description |
|---|---|---|---|
Identity |
Obligatoire |
Chaîne |
Identificateur unique du site sur lequel le compte Kerberos a été affecté (il s’agit de l’identité du site et non du compte d’ordinateur). Par exemple : -Identity "site:Redmond". |
UserAccount |
Obligatoire |
Chaîne |
Nom du compte à attribuer, au format nom_domaine\nom_utilisateur. Par exemple : -UserAccount "litwareinc\kerberostest". La partie nom d’utilisateur du compte (kerberostest) est un nom NETBIOS et peut contenir au maximum 15 caractères. Notez que, en dépit de son nom UserAccount, ce compte est en fait un compte d’ordinateur et non un compte d’utilisateur. |
Instance |
Facultatif |
Objet KerberosAccountAssignment |
Permet de transmettre une référence à un objet à la cmdlet plutôt que de définir des valeurs de paramètre individuelles. |
Force |
Facultatif |
Paramètre de commutateur |
Supprime l’affichage de tous les messages d’erreur récupérable susceptibles d’apparaître lors de l’exécution de la commande. |
WhatIf |
Facultatif |
Paramètre de commutateur |
Décrit ce qui se passe si vous exécutez la commande sans l’exécuter réellement. |
Confirm |
Facultatif |
Paramètre de commutateur |
Vous demande confirmation avant d’exécuter la commande. |
Types d’entrées
Objet Microsoft.Rtc.Management.WritableConfig.Settings.KerberosAccount.KerberosAccountAssignment. Set-CsKerberosAccountAssignment accepte les instances transmises via le pipeline de l’objet d'attribution de compte Kerberos.
Types de retours
Set-CsKerberosAccountAssignment ne retourne ni valeur, ni objet. En fait, la cmdlet modifie les instances existantes de l’objet Microsoft.Rtc.Management.WritableConfig.Settings.KerberosAccount.KerberosAccountAssignment.
Exemple
-------------------------- Exemple 1 ------------------------
Set-CsKerberosAccountAssignment -UserAccount "litwareinc\keberostest" -Identity "site:Redmond"
Enable-CsTopology
Les commandes illustrées dans l’exemple 1 associent un compte Kerberos existant (litwareinc\keberostest) au site de Redmond, puis utilisent Enable-CsTopology pour activer la nouvelle association. Pour ce faire, la première commande de l’exemple utilise Set-CsKerberosAccountAssignment pour associer le compte litwareinc\keberostest au site de Redmond. La deuxième commande appelle ensuite Enable-CsTopology pour créer le nom de service principal requis dans Active Directory et activer l’affectation du compte modifié.
Voir aussi
Autres ressources
Get-CsKerberosAccountAssignment
New-CsKerberosAccount
New-CsKerberosAccountAssignment
Remove-CsKerberosAccountAssignment