Remove-CsKerberosAccountAssignment
Dernière rubrique modifiée : 2012-03-25
Supprime une ou plusieurs affectations de compte Kerberos.
Syntaxe
Remove-CsKerberosAccountAssignment -Identity <XdsIdentity> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-WhatIf [<SwitchParameter>]]
Description détaillée
Dans Microsoft Office Communications Server 2007 et Microsoft Office Communications Server 2007 R2, IIS était exécuté sous un compte d’utilisateur standard, ce qui pouvait poser plusieurs problèmes potentiels : en cas d’expiration du mot de passe, vous pouviez perdre vos services Web, problème généralement difficile à identifier. Afin d’éviter la question des mots de passe arrivant à expiration, Microsoft Lync Server 2010 permet à présent de créer un compte d’ordinateur (pour un ordinateur qui n’existe pas réellement) pouvant servir de nom principal d’authentification pour tous les ordinateurs d’un site qui exécutent IIS. Parce que ces comptes utilisent le protocole d’authentification Kerberos, les comptes sont désignés en qualité de comptes Kerberos et le nouveau processus d’authentification est désigné sous le nom d’authentification Web Kerberos. Vous pouvez ainsi gérer tous vos serveurs IIS à l’aide d’un seul et même compte.
Pour exécuter vos serveurs sous ce nouveau nom principal d’authentification, vous devez d’abord créer un compte d’ordinateur (qui, là encore, n’est pas lié à un ordinateur réel) à l’aide de la cmdlet New-CsKerberosAccount. Ce compte est ensuite affecté à un ou plusieurs sites. Une fois l’affectation terminée, l’association est activée en exécutant la cmdlet Enable-CsTopology. Elle vous permet, entre autres, de créer le nom principal de service (SPN) requis dans les services de domaine Active Directory (AD DS). Les noms SPN permettent aux applications clientes de localiser un service spécifique.
Chaque site Lync Server 2010 peut être associé, au maximum, à un compte Kerberos (cependant, chaque compte peut être associé à plusieurs sites). Vous pouvez à tout moment utiliser la cmdlet Remove-CsKerberosAccountAssignment pour supprimer l’association entre un site et un compte. Cette cmdlet ne supprime pas le compte en question. Elle rompt simplement l’association entre le compte et le site, en désactivant l’authentification Web Kerberos sur ce site.
Notez qu’après avoir exécuté la cmdlet Remove-CsKerberosAccountAssignment, vous devez exécuter la cmdlet Enable-CsTopology. Celle-ci supprime le nom principal de service du compte dans Active Directory et désactive entièrement l’authentification Web Kerberos.
Personnes autorisées à exécuter cette cmdlet : Par défaut, les membres des groupes qui suivent sont autorisés à exécuter localement la cmdlet Remove-CsKerberosAccountAssignment : RTCUniversalServerAdmins. Pour retourner une liste de tous les rôles RBAC (Contrôle d’accès basé sur un rôle) auxquels cette cmdlet a été affectée (y compris les rôles RBAC personnalisés créés par vos soins), exécutez la commande suivante à l’invite Windows PowerShell :
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Remove-CsKerberosAccountAssignment"}
Paramètres
| Paramètre | Obligatoire | Type | Description |
|---|---|---|---|
Identity |
Obligatoire |
Chaîne |
Identificateur unique du site dans lequel l’affectation de compte Kerberos a été supprimée (il s’agit de l’identité du site et non de celle du compte Kerberos). Par exemple : -Identity "site:Redmond". |
Force |
Facultatif |
Paramètre de commutateur |
Si vous définissez ce paramètre, tous les messages d’erreur, à l’exception des erreurs irrécupérables, sont supprimés. |
WhatIf |
Facultatif |
Paramètre de commutateur |
Décrit ce qui se passe si vous exécutez la commande sans l’exécuter réellement. |
Confirm |
Facultatif |
Paramètre de commutateur |
Vous demande confirmation avant d’exécuter la commande. |
Types d’entrées
Objet Microsoft.Rtc.Management.WritableConfig.Settings.KerberosAccount.KerberosAccountAssignment. Remove-CsKerberosAccountAssignment accepte les instances transmises via le pipeline de l’objet d’affectation de compte Kerberos.
Types de retours
Aucun. Remove-CsKerberosAccountAssignment ne retourne ni objet ni valeur. Au lieu de cela, la cmdlet supprime les instances existantes de l’objet Microsoft.Rtc.Management.WritableConfig.Settings.KerberosAccount.KerberosAccountAssignment.
Exemple
-------------------------- Exemple 1 ------------------------
Remove-CsKerberosAccountAssignment -Identity "site:Redmond"
Enable-CsTopology
Les commandes ci-dessus supprime l’affectation de compte Kerberos du site de Redmond, puis appelle la cmdlet Enable-CsTopology pour finir de désactiver l’authentification Web Kerberos.
-------------------------- Exemple 2 ------------------------
Get-CsKerberosAccountAssignment | Remove-CsKerberosAccountAssignment
Enable-CsTopology
Dans l’exemple 2, toutes les affectations de compte Kerberos actuellement utilisées sont supprimées. Pour cela, la commande appelle d’abord la cmdlet Get-CsKerberosAccountAssignment (sans aucun paramètre) pour retourner une collection de toutes les affectations de compte Kerberos. Cette collection est ensuite redirigée vers la cmdlet Remove-CsKerberosAccountAssignment qui supprime chaque affectation. Ceci fait, la deuxième commande de l’exemple appelle la cmdlet Enable-CsTopology pour finir de désactiver l’authentification Web Kerberos.
Voir aussi
Autres ressources
Get-CsKerberosAccountAssignment
New-CsKerberosAccountAssignment
Set-CsKerberosAccountAssignment