Queremos utilizar Windows Admin Center para administrar nuestro entorno; WAC se ejecutará en un servidor dedicado en modo puerta de enlace y los administradores administrarán los servidores a través de WAC.
Esto requiere configurar la delegación restringida de Kerberos para permitir que WAC opere en los servidores en nombre de los usuarios; esto está bien documentado y funciona de esta manera:
$wac = Get-AdComputer "WAC Server Name"
$server = Get-AdComputer "Managed Server Name"
Set-ADComputer $server -PrincipalsAllowedToDelegateToAccount $wac
Por supuesto, esto se puede programar fácilmente para múltiples servidores.
Sin embargo, lo que nos gustaría es que esto se automatice: cuando se une un nuevo servidor al dominio, a la puerta de enlace WAC se le debe otorgar automáticamente una delegación Kerberos para administrarlo.
Desafortunadamente, esto no parece ser una ACL real en el objeto de la computadora; por lo tanto, no parece posible manejar esto con una ACL a nivel de unidad organizativa o de dominio. Además, no parece haber ninguna configuración de GPO para esto (o al menos no pude encontrarla).
¿Cómo podemos habilitar automáticamente la delegación de Kerberos a la puerta de enlace WAC para todas las computadoras cuando están unidas al dominio?