Revoke-CsClientCertificate
Letztes Änderungsdatum des Themas: 2012-03-27
Clientzertifikate bieten eine Möglichkeit zur Authentifizierung von Benutzern, wenn sich diese an Microsoft Lync Server 2010 anmelden. Zertifikate sind insbesondere für Telefone und andere Geräte nützlich, auf denen Microsoft Lync 2010 Phone Edition ausgeführt wird, und bei denen die Eingabe eines Benutzernamens und/oder Kennworts schwierig ist. Das Cmdlet Revoke-CsClientCertificate bietet Administratoren die Möglichkeit, Clientzertifikate zu sperren, die für einen Benutzer ausgestellt wurden.
Syntax
Revoke-CsClientCertificate -Identity <UserIdParameter> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-WhatIf [<SwitchParameter>]]
Detaillierte Beschreibung
Clientzertifikate stellen eine alternative Methode zur Authentifizierung von Benutzern durch Lync Server 2010 dar. Statt einen Benutzernamen und ein Kennwort bereitzustellen, legt der Benutzer dem System ein X.509-Zertifikat vor. (Dieses Zertifikat muss einen Antragstellernamen oder alternativen Antragstellernamen aufweisen, mit dem der Benutzer identifiziert werden kann.) Zur Authentifizierung müssen Benutzer lediglich eine persönliche Identifikationsnummer (PIN) eingeben. Die Eingabe einer PIN ist für Mobiltelefonbenutzer in der Regel einfacher als die Eingabe eines alphanumerischen Benutzernamens und/oder Kennworts.
Administratoren können die für einen Benutzer ausgestellten Clientzertifikate jederzeit mit dem Cmdlet Revoke-CsClientCertificate sperren. Mit Revoke-CsClientCertificate werden alle Clientzertifikate gesperrt, die vom Server für den jeweiligen Benutzer ausgestellt wurden.
Revoke-CsClientCertificate löscht die Zertifikate nicht vom Clientgerät selbst; sie werden nur auf dem Server gelöscht. Dies reicht jedoch aus, um zu verhindern, dass ein Client Zertifikate zu Authentifizierungszwecken nutzen kann: Wenn sich ein Zertifikat nicht auf dem Server befindet, wird die Authentifizierungsanforderung abgelehnt.
Beachten Sie, dass die Firewallausnahmen für SQL Server Express standardmäßig nicht aktiviert sind, wenn Sie die Standard Edition von Lync Server 2010 installieren. Dies wiederum bedeutet, dass Sie das Cmdlet Revoke-CsClientCertificate nicht über eine Remoteinstanz von Windows PowerShell ausführen können. Der Grund hierfür ist, dass der Befehl die Firewall nicht passieren kann und somit kein Zugriff auf die SQL Server Express-Datenbank möglich ist. (Sie können das Cmdlet jedoch weiterhin lokal, d. h. auf dem Standard Edition-Server selbst ausführen.) Wenn Sie die Standard Edition verwenden und das Cmdlet Revoke-CsClientCertificate remote ausführen müssen, müssen Sie die Firewallausnahmen für SQL Server Express manuell aktivieren.
Dieses Cmdlet kann von folgenden Benutzern ausgeführt werden: Standardmäßig dürfen Mitglieder der folgenden Gruppen das Cmdlet Revoke-CsClientCertificate lokal ausführen: RTCUniversalServerAdmins. Geben Sie den folgenden Befehl an der Windows PowerShell-Eingabeaufforderung ein, um eine Liste aller rollenbasierten Zugriffssteuerungsrollen zurückzugeben, die diesem Cmdlet zugewiesen wurden (einschließlich der benutzerdefinierten rollenbasierten Zugriffssteuerungsrollen, die Sie selbst erstellt haben):
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Revoke-CsClientCertificate"}
Parameter
| Parameter | Erforderlich | Typ | Beschreibung |
|---|---|---|---|
Identity |
Erforderlich |
Benutzeridentität |
Gibt den Identitätswert des Benutzerkontos an, für das Zertifikate gesperrt werden sollen. Benutzeridentitäten können in den folgenden vier Formaten angegeben werden: als 1) SIP-Adresse des Benutzers, 2) UPN (User Principal Name) des Benutzers, 3) Domänen- und Anmeldename des Benutzers (mit dem Format "Domäne\Anmeldename", z. B. "litwareinc\kenmyer") und 4) Active Directory-Anzeigename des Benutzers (z. B. "Ken Myer"). Benutzeridentitäten können auch über den Active Directory-DN (Distinguished Name) des Benutzers referenziert werden. |
Force |
Optional |
Switch-Parameter |
Unterdrückt die Anzeige von Meldungen bei nicht schwerwiegenden Fehlern, die beim Ausführen des Befehls auftreten können. |
WhatIf |
Optional |
Switch-Parameter |
Beschreibt die Auswirkungen einer Ausführung des Befehls, ohne den Befehl tatsächlich auszuführen. |
Confirm |
Optional |
Switch-Parameter |
Fordert Sie vor der Ausführung des Befehls zum Bestätigen auf. |
Eingabetypen
Zeichenfolgenwert oder Microsoft.Rtc.Management.ADConnect.Schema.ADUser-Objekt. Revoke-CsClientCertificate akzeptiert eine weitergeleitete Eingabe von Zeichenfolgenwerten, die den Identitätswert eines Benutzerkontos repräsentieren. Das Cmdlet akzeptiert auch eine weitergeleitete Eingabe von Benutzerobjekten.
Rückgabetypen
Keine. Mit Revoke-CsClientCertificate werden Instanzen des Objekts "Microsoft.Rtc.Management.UserPinService.CertInfoDetails" gesperrt.
Beispiel
-------------------------- Beispiel 1 ------------------------
Revoke-CsClientCertificate -Identity "Ken Myer"
Mit dem in Beispiel 1 gezeigten Befehl werden alle Clientzertifikate gesperrt, die derzeit Ken Myer zugewiesen sind. Dazu wird das Cmdlet Revoke-CsClientCertificate aufgerufen, gefolgt vom Identitätswert des Benutzers, dessen Zertifikate gesperrt werden sollen.
-------------------------- Beispiel 2 -------------------------
Get-CsUser | Revoke-CsClientCertificate
In Beispiel 2 werden alle Clientzertifikate gesperrt, die in Ihrer Organisation ausgestellt wurden. Hierzu wird zunächst Get-CsUser aufgerufen, um eine Auflistung aller Benutzer in Ihrer Organisation zurückzugeben, die für Microsoft Lync Server aktiviert sind. Diese Auflistung wird dann an das Cmdlet Revoke-CsClientCertificate weitergeleitet, das die für jeden Benutzer in der Auflistung zugewiesenen Zertifikate löscht.