Konfigurowanie zaufania w chmurze między lokalnymi usługami AD DS i identyfikatorem entra firmy Microsoft na potrzeby uzyskiwania dostępu do usługi Azure Files
Wiele organizacji chce używać uwierzytelniania opartego na tożsamościach dla udziałów plików platformy Azure SMB w środowiskach obejmujących zarówno lokalna usługa Active Directory usług domenowych (AD DS) i Microsoft Entra ID (dawniej Azure Active Directory), ale nie spełniają wymagań wstępnych dotyczących systemu operacyjnego lub domeny.
W takich scenariuszach klienci mogą włączyć uwierzytelnianie Protokołu Kerberos firmy Microsoft dla tożsamości użytkowników hybrydowych, a następnie ustanowić zaufanie w chmurze między lokalnymi usługami AD DS i identyfikatorem Entra firmy Microsoft w celu uzyskania dostępu do udziałów plików SMB przy użyciu poświadczeń lokalnych. W tym artykule wyjaśniono, jak działa zaufanie do chmury, oraz przedstawiono instrukcje dotyczące konfigurowania i walidacji. Zawiera również kroki rotacji klucza Kerberos dla konta usługi w identyfikatorze Entra firmy Microsoft i obiekcie zaufanej domeny oraz kroki usuwania zaufanego obiektu domeny i wszystkich ustawień protokołu Kerberos, jeśli jest to konieczne.
W tym artykule skupiono się na uwierzytelnieniu tożsamości użytkowników hybrydowych, które są lokalnymi tożsamościami usług AD DS synchronizowanych z identyfikatorem Entra firmy Microsoft przy użyciu programu Microsoft Entra Connect lub synchronizacji z chmurą microsoft Entra Connect. Tożsamości tylko w chmurze nie są obecnie obsługiwane w przypadku usługi Azure Files.
Dotyczy
Typ udziału plików | SMB | NFS |
---|---|---|
Udziały plików w warstwie Standardowa (GPv2), LRS/ZRS | ||
Udziały plików w warstwie Standardowa (GPv2), GRS/GZRS | ||
Udziały plików w warstwie Premium (FileStorage), LRS/ZRS |
Scenariusze
Poniżej przedstawiono przykłady scenariuszy, w których można skonfigurować zaufanie do chmury:
Masz tradycyjne lokalne usługi AD DS, ale nie możesz go używać do uwierzytelniania, ponieważ nie masz niezwiązanej łączności sieciowej z kontrolerami domeny.
Rozpoczęto migrację do chmury, ale obecnie aplikacje nadal działają w tradycyjnych lokalnych usługach AD DS.
Niektóre lub wszystkie maszyny klienckie nie spełniają wymagań systemu operacyjnego dotyczących uwierzytelniania Protokołu Kerberos firmy Microsoft.
Uprawnienia
Aby wykonać kroki opisane w tym artykule, potrzebne są następujące elementy:
- Nazwa użytkownika i hasło administratora lokalna usługa Active Directory
- Nazwa użytkownika i hasło konta administratora globalnego firmy Microsoft Entra
Wymagania wstępne
Przed zaimplementowaniem przychodzącego przepływu uwierzytelniania opartego na zaufaniu upewnij się, że spełnione są następujące wymagania wstępne:
Wstępnie wymagane | Opis |
---|---|
Klienci muszą mieć system Windows 10, Windows Server 2012 lub nowszą wersję systemu Windows. | |
Klienci muszą być połączeni z usługą Active Directory (AD). Domena musi mieć poziom funkcjonalności systemu Windows Server 2012 lub wyższy. | Możesz określić, czy klient jest przyłączony do usługi AD, uruchamiając polecenie dsregcmd: dsregcmd.exe /status |
Dzierżawa firmy Microsoft Entra. | Dzierżawa firmy Microsoft Entra to granica zabezpieczeń tożsamości, która jest pod kontrolą działu IT organizacji. Jest to wystąpienie identyfikatora Entra firmy Microsoft, w którym znajdują się informacje o jednej organizacji. |
Subskrypcja platformy Azure w ramach tej samej dzierżawy firmy Microsoft Entra, której planujesz używać do uwierzytelniania. | |
Konto usługi Azure Storage w subskrypcji platformy Azure. | Konto usługi Azure Storage to zasób, który działa jako kontener do grupowania wszystkich usług danych z usługi Azure Storage, w tym plików. |
Należy zainstalować program Microsoft Entra Connect lub synchronizację z chmurą Microsoft Entra Connect. | Te rozwiązania są używane w środowiskach hybrydowych, w których tożsamości istnieją zarówno w usłudze Microsoft Entra ID, jak i w lokalnych usługach AD DS. |
Włączanie uwierzytelniania Protokołu Kerberos firmy Microsoft
Jeśli włączono już uwierzytelnianie Protokołu Kerberos firmy Microsoft w usłudze Entra na koncie magazynu, możesz pominąć ten krok i przejść do sekcji Tworzenie i konfigurowanie zaufanego obiektu domeny Protokołu Kerberos firmy Microsoft.
Możesz włączyć uwierzytelnianie Kerberos firmy Microsoft w usłudze Azure Files dla kont użytkowników hybrydowych przy użyciu witryny Azure Portal, programu PowerShell lub interfejsu wiersza polecenia platformy Azure.
Aby włączyć uwierzytelnianie kerberos firmy Microsoft w usłudze Microsoft Entra przy użyciu witryny Azure Portal, wykonaj następujące kroki.
Zaloguj się do witryny Azure Portal i wybierz konto magazynu, dla którego chcesz włączyć uwierzytelnianie Kerberos firmy Microsoft.
W obszarze Magazyn danych wybierz pozycję Udziały plików.
Obok pozycji Active Directory wybierz stan konfiguracji (na przykład Nieskonfigurowane).
W obszarze Microsoft Entra Kerberos wybierz pozycję Skonfiguruj.
Zaznacz pole wyboru Microsoft Entra Kerberos.
Opcjonalnie: Jeśli chcesz skonfigurować uprawnienia na poziomie katalogu i pliku za pośrednictwem Eksplorator plików systemu Windows, musisz określić nazwę domeny i identyfikator GUID domeny dla lokalnej usługi AD. Te informacje można uzyskać od administratora domeny lub uruchamiając następujące polecenie cmdlet programu PowerShell usługi Active Directory z lokalnego klienta przyłączonego do usługi AD:
Get-ADDomain
. Nazwa domeny powinna być wyświetlana w danych wyjściowych w obszarzeDNSRoot
, a identyfikator GUID domeny powinien być wymieniony w obszarzeObjectGUID
. Jeśli wolisz skonfigurować uprawnienia na poziomie katalogu i pliku przy użyciu list icacls, możesz pominąć ten krok. Jeśli jednak chcesz użyć list icacls, klient będzie potrzebować niezmpedowanej łączności sieciowej z lokalną usługą AD.Wybierz pozycję Zapisz.
Ostrzeżenie
Jeśli wcześniej włączono uwierzytelnianie protokołu Kerberos firmy Microsoft entra za pomocą ręcznej ograniczonej wersji zapoznawczej w celu przechowywania profilów FSLogix na maszynach wirtualnych dołączonych do usługi Microsoft Entra, hasło dla jednostki usługi konta magazynu jest ustawione na wygaśnięcie co sześć miesięcy. Po wygaśnięciu hasła użytkownicy nie będą mogli pobierać biletów Protokołu Kerberos do udziału plików. Aby rozwiązać ten problem, zobacz "Błąd — hasło jednostki usługi wygasło w identyfikatorze Entra firmy Microsoft" w obszarze Potencjalne błędy podczas włączania uwierzytelniania Kerberos firmy Microsoft dla użytkowników hybrydowych.
Udzielanie zgody administratora dla nowej jednostki usługi
Po włączeniu uwierzytelniania Microsoft Entra Kerberos należy jawnie udzielić zgody administratora na nową aplikację Microsoft Entra zarejestrowaną w dzierżawie firmy Microsoft Entra. Ta jednostka usługi jest generowana automatycznie i nie jest używana do autoryzacji do udziału plików, więc nie należy wprowadzać żadnych zmian w jednostce usługi innej niż udokumentowane w tym miejscu. Jeśli to zrobisz, może zostać wyświetlony błąd.
Uprawnienia interfejsu API można skonfigurować w witrynie Azure Portal , wykonując następujące kroki:
- Otwórz Microsoft Entra ID.
- W menu usługi w obszarze Zarządzanie wybierz pozycję Rejestracje aplikacji.
- Wybierz pozycję Wszystkie aplikacje.
- Wybierz aplikację z nazwą zgodną z ciągiem [Konto magazynu]
<your-storage-account-name>
.file.core.windows.net. - W menu usługi w obszarze Zarządzanie wybierz pozycję Uprawnienia interfejsu API.
- Wybierz pozycję Udziel zgody administratora dla użytkownika [Nazwa katalogu], aby udzielić zgody dla trzech żądanych uprawnień interfejsu API (openid, profile i User.Read) dla wszystkich kont w katalogu.
- Wybierz Tak, aby potwierdzić.
Ważne
Jeśli łączysz się z kontem magazynu za pośrednictwem prywatnego punktu końcowego/łącza prywatnego przy użyciu uwierzytelniania Microsoft Entra Kerberos, musisz również dodać nazwę FQDN łącza prywatnego do aplikacji Microsoft Entra konta magazynu. Aby uzyskać instrukcje, zobacz wpis w naszym przewodniku rozwiązywania problemów.
Wyłączanie uwierzytelniania wieloskładnikowego na koncie magazynu
Protokół Kerberos firmy Microsoft nie obsługuje używania uwierzytelniania wieloskładnikowego do uzyskiwania dostępu do udziałów plików platformy Azure skonfigurowanych za pomocą protokołu Kerberos firmy Microsoft. Należy wykluczyć aplikację Microsoft Entra reprezentującą konto magazynu z zasad dostępu warunkowego uwierzytelniania wieloskładnikowego, jeśli mają zastosowanie do wszystkich aplikacji.
Aplikacja konta magazynu powinna mieć taką samą nazwę jak konto magazynu na liście wykluczeń dostępu warunkowego. Podczas wyszukiwania aplikacji konta magazynu na liście wykluczeń dostępu warunkowego wyszukaj: [Konto magazynu] <your-storage-account-name>
.file.core.windows.net
Pamiętaj, aby zastąpić <your-storage-account-name>
odpowiednią wartością.
Ważne
Jeśli nie wykluczysz zasad uwierzytelniania wieloskładnikowego z aplikacji konta magazynu, nie będzie można uzyskać dostępu do udziału plików. Próba mapowania udziału plików przy użyciu net use
spowoduje wyświetlenie komunikatu o błędzie z komunikatem "Błąd systemu 1327: Ograniczenia konta uniemożliwiają temu użytkownikowi zalogowanie się. Na przykład: puste hasła nie są dozwolone, czasy logowania są ograniczone lub wymuszono ograniczenie zasad.
Aby uzyskać wskazówki dotyczące wyłączania uwierzytelniania wieloskładnikowego, zobacz następujące tematy:
- Dodawanie wykluczeń dla jednostek usługi zasobów platformy Azure
- Tworzenie zasad dostępu warunkowego
Przypisywanie uprawnień na poziomie udziału
Po włączeniu dostępu opartego na tożsamościach dla każdego udziału należy przypisać użytkowników i grupy mają dostęp do tego określonego udziału. Gdy użytkownik lub grupa będzie mieć dostęp do udziału, listy ACL systemu Windows (nazywane również uprawnieniami NTFS) na poszczególnych plikach i katalogach przejmują. Umożliwia to szczegółową kontrolę nad uprawnieniami, podobnie jak udział SMB na serwerze z systemem Windows.
Aby ustawić uprawnienia na poziomie udziału, postępuj zgodnie z instrukcjami w temacie Przypisywanie uprawnień na poziomie udziału do tożsamości.
Konfigurowanie uprawnień na poziomie katalogu i pliku
Po wprowadzeniu uprawnień na poziomie udziału można przypisać uprawnienia na poziomie katalogu/pliku do użytkownika lub grupy. Wymaga to używania urządzenia z niezmpedowaną łącznością sieciową z lokalną usługą AD.
Aby skonfigurować uprawnienia na poziomie katalogu i pliku, postępuj zgodnie z instrukcjami w temacie Konfigurowanie uprawnień na poziomie katalogu i pliku za pośrednictwem protokołu SMB.
Tworzenie i konfigurowanie obiektu zaufanej domeny protokołu Kerberos firmy Microsoft
Aby utworzyć i skonfigurować obiekt zaufanej domeny protokołu Kerberos firmy Microsoft, użyjesz modułu Zarządzania uwierzytelnianiem hybrydowym usługi Azure AD programu PowerShell. Ten moduł umożliwia organizacjom tożsamości hybrydowej używanie nowoczesnych poświadczeń dla swoich aplikacji i umożliwia firmie Microsoft Entra ID uzyskanie zaufanego źródła zarówno do uwierzytelniania w chmurze, jak i w środowisku lokalnym.
Konfigurowanie obiektu zaufanej domeny
Użyjesz modułu Zarządzania uwierzytelnianiem hybrydowym usługi Azure AD programu PowerShell, aby skonfigurować zaufany obiekt domeny w lokalnej domenie usługi AD i zarejestrować informacje o zaufaniu przy użyciu identyfikatora entra firmy Microsoft. Spowoduje to utworzenie relacji zaufania powiązanej z lokalną usługą AD, która umożliwia usłudze Microsoft Entra ID zaufanie do lokalnej usługi AD.
Musisz skonfigurować tylko zaufany obiekt domeny raz na domenę. Jeśli zrobiono to już dla domeny, możesz pominąć tę sekcję i przejść do sekcji Konfigurowanie klientów w celu pobrania biletów Protokołu Kerberos.
Instalowanie modułu Zarządzania uwierzytelnianiem hybrydowym usługi Azure AD w programie PowerShell
Uruchom sesję programu Windows PowerShell z opcją Uruchom jako administrator .
Zainstaluj moduł Zarządzania uwierzytelnianiem hybrydowym usługi Azure AD programu PowerShell przy użyciu następującego skryptu. Skrypt:
- Włącza protokół TLS 1.2 na potrzeby komunikacji.
- Instaluje dostawcę pakietów NuGet.
- Rejestruje repozytorium PSGallery.
- Instaluje moduł PowerShellGet.
- Instaluje moduł PowerShell zarządzania uwierzytelnianiem hybrydowym usługi Azure AD.
- Program PowerShell do zarządzania uwierzytelnianiem hybrydowym usługi Azure AD korzysta z modułu AzureADPreview, który udostępnia zaawansowane funkcje zarządzania firmą Microsoft Entra.
- Aby chronić przed niepotrzebnymi konfliktami instalacji z modułem programu PowerShell usługi Azure AD, to polecenie zawiera flagę
-AllowClobber
opcji.
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
Install-PackageProvider -Name NuGet -Force
if (@(Get-PSRepository | ? {$_.Name -eq "PSGallery"}).Count -eq 0){
Register-PSRepository -DefaultSet-PSRepository -Name "PSGallery" -InstallationPolicy Trusted
}
Install-Module -Name PowerShellGet -Force
Install-Module -Name AzureADHybridAuthenticationManagement -AllowClobber
Tworzenie obiektu zaufanej domeny
Uruchom sesję programu Windows PowerShell z opcją Uruchom jako administrator .
Ustaw typowe parametry. Dostosuj poniższy skrypt przed jego uruchomieniem.
$domain
Ustaw parametr na nazwę domeny lokalna usługa Active Directory.- Po wyświetleniu monitu przez
Get-Credential
program wprowadź nazwę użytkownika i hasło administratora lokalna usługa Active Directory. $cloudUserName
Ustaw parametr na nazwę użytkownika uprzywilejowanego konta administratora globalnego dla dostępu do chmury Firmy Microsoft Entra.
Uwaga
Jeśli chcesz użyć bieżącego konta logowania systemu Windows dla lokalna usługa Active Directory dostępu, możesz pominąć krok, w którym poświadczenia są przypisane do parametru
$domainCred
. Jeśli to podejście zostanie uwzględnione, nie uwzględnij parametru-DomainCredential
w poleceniach programu PowerShell, wykonując ten krok.$domain = "your on-premesis domain name, for example contoso.com" $domainCred = Get-Credential $cloudUserName = "Azure AD user principal name, for example admin@contoso.onmicrosoft.com"
Sprawdź bieżące ustawienia domeny protokołu Kerberos.
Uruchom następujące polecenie, aby sprawdzić bieżące ustawienia protokołu Kerberos w domenie:
Get-AzureAdKerberosServer -Domain $domain ` -DomainCredential $domainCred ` -UserPrincipalName $cloudUserName
Jeśli jest to pierwsze wywołanie dowolnego polecenia protokołu Kerberos firmy Microsoft Entra, zostanie wyświetlony monit o dostęp do chmury Firmy Microsoft Entra.
- Wprowadź hasło dla konta administratora globalnego firmy Microsoft Entra.
- Jeśli Twoja organizacja używa innych nowoczesnych metod uwierzytelniania, takich jak uwierzytelnianie wieloskładnikowe firmy Microsoft lub karta inteligentna, postępuj zgodnie z instrukcjami, zgodnie z żądaniem logowania.
Jeśli po raz pierwszy konfigurujesz ustawienia protokołu Kerberos firmy Microsoft Entra, polecenie cmdlet Get-AzureAdKerberosServer wyświetla puste informacje, jak w następujących przykładowych danych wyjściowych:
ID : UserAccount : ComputerAccount : DisplayName : DomainDnsName : KeyVersion : KeyUpdatedOn : KeyUpdatedFrom : CloudDisplayName : CloudDomainDnsName : CloudId : CloudKeyVersion : CloudKeyUpdatedOn : CloudTrustDisplay :
Jeśli domena obsługuje już uwierzytelnianie FIDO,
Get-AzureAdKerberosServer
polecenie cmdlet wyświetla informacje o koncie usługi Microsoft Entra, jak w poniższych przykładowych danych wyjściowych. PoleCloudTrustDisplay
zwraca pustą wartość.ID : XXXXX UserAccount : CN=krbtgt-AzureAD, CN=Users, DC=contoso, DC=com ComputerAccount : CN=AzureADKerberos, OU=Domain Controllers, DC=contoso, DC=com DisplayName : XXXXXX_XXXXX DomainDnsName : contoso.com KeyVersion : 53325 KeyUpdatedOn : 2/24/2024 9:03:15 AM KeyUpdatedFrom : ds-aad-auth-dem.contoso.com CloudDisplayName : XXXXXX_XXXXX CloudDomainDnsName : contoso.com CloudId : XXXXX CloudKeyVersion : 53325 CloudKeyUpdatedOn : 2/24/2024 9:03:15 AM CloudTrustDisplay :
Dodaj zaufany obiekt domeny.
Uruchom polecenie cmdlet Set-AzureAdKerberosServer programu PowerShell, aby dodać zaufany obiekt domeny. Pamiętaj, aby uwzględnić
-SetupCloudTrust
parametr. Jeśli nie ma konta usługi Microsoft Entra, to polecenie tworzy nowe konto usługi Microsoft Entra. To polecenie spowoduje utworzenie żądanego obiektu zaufanej domeny tylko wtedy, gdy istnieje konto usługi Microsoft Entra.Set-AzureADKerberosServer -Domain $domain -UserPrincipalName $cloudUserName -DomainCredential $domainCred -SetupCloudTrust
Uwaga
Aby uniknąć błędu LsaCreateTrustedDomainEx w wielu lasach domeny, 0x549 podczas uruchamiania polecenia w domenie podrzędnej:
- Uruchom polecenie w domenie głównej (uwzględnij
-SetupCloudTrust
parametr). - Uruchom to samo polecenie w domenie podrzędnej bez parametru
-SetupCloudTrust
.
Po utworzeniu obiektu zaufanej domeny można sprawdzić zaktualizowane ustawienia protokołu Kerberos przy użyciu
Get-AzureAdKerberosServer
polecenia cmdlet programu PowerShell, jak pokazano w poprzednim kroku.Set-AzureAdKerberosServer
Jeśli polecenie cmdlet zostało pomyślnie uruchomione z parametrem-SetupCloudTrust
,CloudTrustDisplay
pole powinno teraz zwrócićMicrosoft.AzureAD.Kdc.Service.TrustDisplay
wartość , jak w następujących przykładowych danych wyjściowych:ID : XXXXX UserAccount : CN=krbtgt-AzureAD, CN=Users, DC=contoso, DC=com ComputerAccount : CN=AzureADKerberos, OU=Domain Controllers, DC=contoso, DC=com DisplayName : XXXXXX_XXXXX DomainDnsName : contoso.com KeyVersion : 53325 KeyUpdatedOn : 2/24/2024 9:03:15 AM KeyUpdatedFrom : ds-aad-auth-dem.contoso.com CloudDisplayName : XXXXXX_XXXXX CloudDomainDnsName : contoso.com CloudId : XXXXX CloudKeyVersion : 53325 CloudKeyUpdatedOn : 2/24/2024 9:03:15 AM CloudTrustDisplay : Microsoft.AzureAD.Kdc.Service.TrustDisplay
Uwaga
Suwerenne chmury platformy Azure wymagają ustawienia
TopLevelNames
właściwości, która jest domyślnie ustawionawindows.net
. Wdrożenia suwerennej chmury platformy Azure usługi SQL Managed Instance używają innej nazwy domeny najwyższego poziomu, takiej jakusgovcloudapi.net
azure US Government. Ustaw zaufany obiekt domeny na tę nazwę domeny najwyższego poziomu przy użyciu następującego polecenia programu PowerShell:Set-AzureADKerberosServer -Domain $domain -DomainCredential $domainCred -CloudCredential $cloudCred -SetupCloudTrust -TopLevelNames "usgovcloudapi.net,windows.net"
. Możesz sprawdzić to ustawienie za pomocą następującego polecenia programu PowerShell:Get-AzureAdKerberosServer -Domain $domain -DomainCredential $domainCred -UserPrincipalName $cloudUserName | Select-Object -ExpandProperty CloudTrustDisplay
.- Uruchom polecenie w domenie głównej (uwzględnij
Konfigurowanie klientów w celu pobierania biletów protokołu Kerberos
Zidentyfikuj identyfikator dzierżawy firmy Microsoft Entra i użyj zasad grupy, aby skonfigurować maszyny klienckie, z których chcesz zainstalować/używać udziałów plików platformy Azure. Należy to zrobić na każdym kliencie, na którym będzie używana usługa Azure Files.
Skonfiguruj te zasady grupy na klientach na wartość "Włączone": Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon
Wdróż następujące ustawienie zasad grupy na maszynach klienckich przy użyciu przychodzącego przepływu opartego na zaufaniu:
Edytuj ustawienia zasad Szablony administracyjne\System\Kerberos\Określ serwery proxy usługi KDC dla klientów protokołu Kerberos.
Wybierz pozycję Włączone.
W obszarze Opcje wybierz pozycję Pokaż.... Spowoduje to otwarcie okna dialogowego Pokaż zawartość.
Zdefiniuj ustawienia serwerów proxy usługi KDC przy użyciu mapowań w następujący sposób. Zastąp identyfikator dzierżawy entra firmy Microsoft symbolem zastępczym
your_Azure_AD_tenant_id
. Zanotuj spację poniżejhttps
i przed zamknięciem/
w mapowaniu wartości.Nazwa wartości Wartość KERBEROS.MICROSOFTONLINE.COM <https login.microsoftonline.com:443: your_Azure_AD_tenant_id
/kerberos />Wybierz przycisk OK , aby zamknąć okno dialogowe "Pokaż zawartość".
Wybierz pozycję Zastosuj w oknie dialogowym "Określ serwery proxy centrum dystrybucji kluczy dla klientów kerberos".
Obracanie klucza Kerberos
Można okresowo obracać klucz Kerberos dla utworzonego konta usługi Microsoft Entra i zaufanego obiektu domeny na potrzeby zarządzania.
Set-AzureAdKerberosServer -Domain $domain `
-DomainCredential $domainCred `
-UserPrincipalName $cloudUserName -SetupCloudTrust `
-RotateServerKey
Po obróceniu klucza propagacja zmienionego klucza między serwerami dystrybucji kluczy Kerberos trwa kilka godzin. Ze względu na ten czas dystrybucji kluczy można obrócić klucz raz w ciągu 24 godzin. Jeśli musisz ponownie obrócić klucz w ciągu 24 godzin z jakiegokolwiek powodu, na przykład po utworzeniu obiektu zaufanej domeny, możesz dodać -Force
parametr:
Set-AzureAdKerberosServer -Domain $domain `
-DomainCredential $domainCred `
-UserPrincipalName $cloudUserName -SetupCloudTrust `
-RotateServerKey -Force
Usuwanie obiektu zaufanej domeny
Dodany obiekt zaufanej domeny można usunąć przy użyciu następującego polecenia:
Remove-AzureADKerberosServerTrustedDomainObject -Domain $domain `
-DomainCredential $domainCred `
-UserPrincipalName $cloudUserName
To polecenie spowoduje usunięcie tylko zaufanego obiektu domeny. Jeśli domena obsługuje uwierzytelnianie FIDO, możesz usunąć zaufany obiekt domeny przy zachowaniu konta usługi Microsoft Entra wymaganego dla usługi uwierzytelniania FIDO.
Usuń wszystkie ustawienia protokołu Kerberos
Możesz usunąć zarówno konto usługi Microsoft Entra, jak i zaufany obiekt domeny, używając następującego polecenia:
Remove-AzureAdKerberosServer -Domain $domain `
-DomainCredential $domainCred `
-UserPrincipalName $cloudUserName