Queremos usar o Windows Admin Center para gerenciar nosso ambiente; O WAC será executado em um servidor dedicado no modo gateway e os administradores gerenciarão os servidores por meio do WAC.
Isso requer a configuração da delegação restrita do Kerberos para permitir que o WAC opere nos servidores em nome dos usuários; isso está bem documentado e funciona desta maneira:
$wac = Get-AdComputer "WAC Server Name"
$server = Get-AdComputer "Managed Server Name"
Set-ADComputer $server -PrincipalsAllowedToDelegateToAccount $wac
Claro, isso pode ser facilmente programado para vários servidores.
No entanto, o que gostaríamos é que isso fosse automatizado: quando um novo servidor é associado ao domínio, o gateway WAC deveria receber automaticamente uma delegação Kerberos para gerenciá-lo.
Infelizmente, esta não parece ser uma ACL real no objeto do computador; portanto, não parece possível lidar com isso com uma ACL na UO ou no nível do domínio. Além disso, não parece haver nenhuma configuração de GPO para isso (ou pelo menos não consegui encontrar).
Como podemos ativar automaticamente a delegação Kerberos ao gateway WAC para todos os computadores quando eles ingressarem no domínio?