Compartilhar via


Remove-CsKerberosAccountAssignment

 

Tópico modificado em: 2012-03-25

Remove uma ou mais atribuições de conta Kerberos.

Sintaxe

Remove-CsKerberosAccountAssignment -Identity <XdsIdentity> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-WhatIf [<SwitchParameter>]]

Descrição Detalhada

No Microsoft Office Communications Server 2007 e Microsoft Office Communications Server 2007 R2, IIS era executado em uma conta de usuário padrão. Isto podia causar alguns problemas: se a senha tivesse expirado, você poderia perder o Serviços Web, um problema que geralmente era difícil de diagnosticar. Para ajudar a evitar o problema de expiração de senhas, o Microsoft Lync Server 2010 permite criar uma conta de computador (em um computador inexistente), que pode servir como principal autenticação de todos os computadores no site que estiverem executando o IIS. Como essas contas utilizam o protocolo de autenticação Kerberos, elas são referidas como contas Kerberos e o novo processo de autenticação é conhecido como autenticação Kerberos de Web. Isso permite gerenciar todos os seus servidores IIS usando uma única conta.

Para que os servidores sejam executados com esta nova autenticação principal, deve-se inicialmente criar uma conta de computador (que, novamente, não está vinculada a um computador real), utilizando o cmdlet New-CsKerberosAccount. Esta conta será então atribuída a um ou mais sites. Depois que a atribuição tiver sido feita, a associação será habilitada ao se executar o cmdlet Enable-CsTopology. Entre outras coisas, isto criará o Nome principal de serviço (SPN) necessário no Serviços de Domínio Active Directory (AD DS). Os SPNs proporcionam aos aplicativos cliente uma maneira de localizar um determinado serviço.

Cada site do Lync Server 2010 pode ser associado a, no máximo, uma única conta Kerberos. (entretanto, cada conta pode estar associada a diversos sites.) A qualquer hora, é possível utilizar o cmdlet Remove-CsKerberosAccountAssignment, para remover a associação entre um site e uma conta. Este cmdlet não exclui a conta em questão; ele simplesmente rompe a associação entre a conta e o site, desabilitando efetivamente a autenticação Kerberos de Web neste site.

Observe que, depois de executar Remove-CsKerberosAccountAssignment, será necessário executar Enable-CsTopology. Isso remove o nome principal do serviço da conta do Active Directory e desabilita completamente a autenticação Kerberos de Web.

Quem pode executar esse cmdlet: Por padrão, membros dos seguintes grupos são autorizados a executar o cmdlet Remove-CsKerberosAccountAssignment localmente: RTCUniversalServerAdmins. Para retornar uma lista de todas as funções de controle de acesso baseado em função (RBAC) às quais este cmdlet tiver sido atribuído (inclusive qualquer função RBAC personalizada que tiver sido criada por você), execute o seguinte comando no prompt do Windows PowerShell:

Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Remove-CsKerberosAccountAssignment"}

Parâmetros

Parâmetro Obrigatório Digite Descrição

Identity

Obrigatório

Cadeia de caracteres

Identificador exclusivo do site no qual deverá ser removida a atribuição à conta Kerberos. (esta é a Identity do site, e não a da conta do Kerberos). Por exemplo: -Identity "site:Redmond".

Force

Opcional

Parâmetro de opção

Quando presente, suprime todas as mensagens de erro, exceto as relacionadas a erros fatais.

WhatIf

Opcional

Parâmetro de opção

Descreve o que aconteceria se o comando fosse executado sem ser executado de fato.

Confirm

Opcional

Parâmetro de opção

Solicita confirmação antes da execução do comando.

Tipos de Entrada

Objeto Microsoft.Rtc.Management.WritableConfig.Settings.KerberosAccount.KerberosAccountAssignment. Remove-CsKerberosAccountAssignment aceita instâncias canalizadas do objeto de atribuição de conta Kerberos.

Tipos de Retorno

Nenhuma. Em vez disso, Remove-CsKerberosAccountAssignment não retorna qualquer objeto ou valor. Em vez disso, o cmdlet modifica as instâncias existentes do objeto Microsoft.Rtc.Management.WritableConfig.Settings.KerberosAccount.KerberosAccountAssignment.

Exemplo

-------------------------- Exemplo 1 ------------------------

Remove-CsKerberosAccountAssignment -Identity "site:Redmond"
Enable-CsTopology

Os comandos anteriores removem a atribuição da conta Kerberos do site de Redmond e, em seguida, chamam Enable-CsTopology, para desabilitar a autenticação Kerberos de Web.

-------------------------- Exemplo 2 ------------------------

Get-CsKerberosAccountAssignment | Remove-CsKerberosAccountAssignment
Enable-CsTopology

No Exemplo 2, são excluídas todas as atribuições da conta Kerberos em uso. Para fazer isso, o primeiro comando chama Get-CsKerberosAccountAssignment, sem quaisquer parâmetros, para retornar uma coleção de todas as atribuições de contas Kerberos. Esta coleção será então canalizada para Remove-CsKerberosAccountAssignment, que excluirá cada atribuição na coleção. Quando isso estiver concluído, o segundo comando no exemplo chamará Enable-CsTopology, para terminar de desabilitar a autenticaçãode Kerberos de Web.