Wir möchten Windows Admin Center zum Verwalten unserer Umgebung verwenden. WAC wird auf einem dedizierten Server im Gateway-Modus ausgeführt und Administratoren verwalten die Server über WAC.
Hierzu muss eine eingeschränkte Kerberos-Delegierung eingerichtet werden, damit WAC im Namen der Benutzer auf den Servern agieren kann. Dies ist gut dokumentiert und funktioniert folgendermaßen:
$wac = Get-AdComputer "WAC Server Name"
$server = Get-AdComputer "Managed Server Name"
Set-ADComputer $server -PrincipalsAllowedToDelegateToAccount $wac
Natürlich kann dies problemlos für mehrere Server geskriptet werden.
Wir möchten dies jedoch automatisieren: Wenn der Domäne ein neuer Server hinzugefügt wird, sollte dem WAC-Gateway automatisch eine Kerberos-Delegation zur Verwaltung erteilt werden.
Leider scheint dies keine tatsächliche ACL auf dem Computerobjekt zu sein; daher scheint es nicht möglich zu sein, dies mit einer ACL auf OU- oder Domänenebene zu handhaben. Außerdem scheint es dafür keine GPO-Einstellung zu geben (oder zumindest konnte ich sie nicht finden).
Wie können wir die Kerberos-Delegierung an das WAC-Gateway automatisch für alle Computer aktivieren, wenn sie der Domäne beitreten?