我們希望使用 Windows Admin Center 來管理我們的環境; WAC將以網關模式運作在專用伺服器上,管理員透過WAC管理伺服器。
這需要設定 Kerberos 約束委派以允許 WAC 代表使用者在伺服器上進行操作;這是有詳細記錄的,並且工作方式如下:
$wac = Get-AdComputer "WAC Server Name"
$server = Get-AdComputer "Managed Server Name"
Set-ADComputer $server -PrincipalsAllowedToDelegateToAccount $wac
當然,這可以輕鬆地為多個伺服器編寫腳本。
然而,我們希望這是自動化的:當新伺服器加入網域時,WAC 閘道應該會自動被授予 Kerberos 委派來管理它。
不幸的是,這似乎不是電腦物件上的實際 ACL;因此,似乎不可能使用 OU 或網域層級的 ACL 來處理此問題。另外,似乎沒有任何 GPO 設定(或至少我找不到它)。
當所有電腦加入網域時,如何自動啟用 Kerberos 委派到 WAC 閘道?