我们希望使用 Windows Admin Center 来管理我们的环境;WAC 将以网关模式在专用服务器上运行,管理员将通过 WAC 管理服务器。
这需要设置 Kerberos 约束委派以允许 WAC 代表用户在服务器上操作;这有据可查,并且工作方式如下:
$wac = Get-AdComputer "WAC Server Name"
$server = Get-AdComputer "Managed Server Name"
Set-ADComputer $server -PrincipalsAllowedToDelegateToAccount $wac
当然,这可以轻松地为多个服务器编写脚本。
然而,我们希望实现自动化:当新服务器加入域时,WAC 网关应自动获得 Kerberos 委派来管理它。
不幸的是,这似乎不是计算机对象上的实际 ACL;因此似乎无法使用 OU 或域级别的 ACL 来处理此问题。此外,似乎没有任何 GPO 设置(至少我找不到)。
当所有计算机加入域时,我们如何自动为 WAC 网关启用 Kerberos 委派?