Мы хотим использовать Windows Admin Center для управления нашей средой; WAC будет работать на выделенном сервере в режиме шлюза, а администраторы будут управлять серверами через WAC.
Для этого требуется настроить ограниченное делегирование Kerberos, чтобы позволить WAC работать на серверах от имени пользователей; это хорошо документировано и работает следующим образом:
$wac = Get-AdComputer "WAC Server Name"
$server = Get-AdComputer "Managed Server Name"
Set-ADComputer $server -PrincipalsAllowedToDelegateToAccount $wac
Конечно, это можно легко реализовать для нескольких серверов.
Однако мы хотели бы, чтобы этот процесс был автоматизирован: при присоединении нового сервера к домену шлюзу WAC автоматически должно быть предоставлено делегирование Kerberos для управления им.
К сожалению, это, похоже, не является фактическим ACL на объекте компьютера; таким образом, это не представляется возможным обработать с помощью ACL на уровне OU или домена. Кроме того, похоже, что для этого нет никаких настроек GPO (или, по крайней мере, я не смог их найти).
Как можно автоматически включить делегирование Kerberos на шлюзе WAC для всех компьютеров при их присоединении к домену?