Enable-WSManCredSSP
Povolí v počítači ověřování zprostředkovatele podpory zabezpečení přihlašovacích údajů (CredSSP).
Syntaxe
Enable-WSManCredSSP
[[-DelegateComputer] <String[]>]
[-Force]
[-Role] <String>
[<CommonParameters>] Description
Tato rutina je dostupná jenom na platformě Windows.
Rutina Enable-WSManCredSSP umožňuje ověřování CredSSP na klientovi nebo na serverovém počítači.
Při použití ověřování CredSSP se přihlašovací údaje uživatele předávají vzdálenému počítači, který se má ověřit. Tento typ ověřování je určený pro příkazy, které vytvoří vzdálenou relaci z jiné vzdálené relace. Pokud například chcete spustit úlohu na pozadí na vzdáleném počítači, použijte tento druh ověřování.
Enable-WSManCredSSP lze povolit CredSSP na klienta nebo Server. Pokud chcete v klientovi povolit CredSSP, zadejte v parametru roleklienta klienta. Klienti deleguje explicitní přihlašovací údaje na server, když se dosáhne ověření serveru. Pokud chcete na serveru povolit CredSSP, v parametru role zadejte Server. Server funguje jako delegát pro klienty. Další podrobnosti najdete v tématu role v části Parametry.
Opatrnost
Ověřování CredSSP deleguje přihlašovací údaje uživatele z místního počítače na vzdálený počítač. Tento postup zvyšuje riziko zabezpečení vzdálené operace. Pokud dojde k ohrožení zabezpečení vzdáleného počítače, lze při předání přihlašovacích údajů použít k řízení síťové relace.
Příklady
Příklad 1: Delegování přihlašovacích údajů klienta
Tento příklad umožňuje delegovat přihlašovací údaje klienta do počítače pomocí plně kvalifikovaného názvu domény.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "Server02.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : truePříklad 2: Delegování přihlašovacích údajů klienta na všechny počítače v doméně
Tento příklad umožňuje delegovat přihlašovací údaje klienta na všechny počítače v fabrikam.com doméně. Zástupný znak hvězdičky (*) určuje všechny počítače.
Poznámka
Použití zástupných znaků s parametrem DelegateComputer může povolit CredSSP na více počítačích, než je potřeba.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "*.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : truePříklad 3: Delegování přihlašovacích údajů klienta na více počítačů
Tento příklad umožňuje delegovat přihlašovací údaje klienta do více počítačů.
$servers = "server02.fabrikam.com", "server03.fabrikam.com", "server04.fabrikam.com"
Enable-WSManCredSSP -Role "Client" -DelegateComputer $servers
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueProměnná $servers obsahuje seznam názvů serverů.
Enable-WSManCredSSP pomocí parametru Role určuje roli klienta.
DelegateComputer získá názvy počítačů z proměnné $servers.
Příklad 4: Povolení, aby počítač fungoval jako delegát
Tento příklad umožňuje počítači jednat jako delegát pro jiný. Rutina Enable-WSManCredSSP, která je uvedená v předchozích příkladech, povoluje ověřování CredSSP pouze na klientovi a určuje vzdálené počítače, které mohou jednat jejím jménem. Aby vzdálený počítač fungoval jako delegát klienta, musí být položka CredSSP v uzlu služby Service wsMan nastavena na hodnotu true. Tento příklad nastaví položku CredSSP v Service uzlu WSMan na true.
Enable-WSManCredSSP -Role "Server"Příklad 5: Povolení, aby počítač fungoval jako delegát pomocí Set-Item
Tento příklad umožňuje, aby počítač fungoval jako delegát pro jiný počítač. Příkazy Enable-WSManCredSSP uvedené v předchozích příkladech umožňují ověřování CredSSP pouze na klientském počítači a určují vzdálené počítače, které mohou jednat jménem klientského počítače. Aby vzdálený počítač fungoval jako delegát klientského počítače, musí být položka CredSSP v adresáři služby zprostředkovatele WSMan nastavena na hodnotu true.
Connect-WSMan -ComputerName "server02"
Set-Item -Path "WSMan:\server02\service\auth\credSSP" -Value $True
Connect-WSMan vytvoří připojení ke vzdálenému počítači, server02.
Set-Item používá parametr Path k určení umístění poskytovatele WSMan. Parametr Hodnota nastaví služby na hodnotu true.
Parametry
-DelegateComputer
Určuje servery, na které jsou delegovány přihlašovací údaje klienta. Osvědčeným postupem je použít plně kvalifikované názvy domén.
Zástupné znaky jsou přijímány, ale můžou povolit CredSSP na více počítačích, než je potřeba.
Pokud je parametr roleKlient, je nutné zadat tento parametr. Pokud role Server, nezadávejte tento parametr.
| Typ: | String[] |
| Position: | 1 |
| Default value: | None |
| Vyžadováno: | False |
| Přijmout vstup kanálu: | False |
| Přijmout zástupné znaky: | True |
-Force
Vynutí spuštění příkazu bez výzvy k potvrzení uživatele.
| Typ: | SwitchParameter |
| Position: | Named |
| Default value: | False |
| Vyžadováno: | False |
| Přijmout vstup kanálu: | False |
| Přijmout zástupné znaky: | False |
-Role
Určuje, jestli se má CredSSP povolit jako klient nebo jako server. Přijatelné hodnoty pro tento parametr jsou: Client a Server.
Pokud zadáte Klient, provede se následující akce. Tato nastavení umožňují klientovi delegovat explicitní přihlašovací údaje na server, když se dosáhne ověření serveru.
- Povolí CredSSP v klientovi.
- Nastaví nastavení WS-Management
\<localhost|computername\>\Client\Auth\CredSSPna true. - Nastaví zásadu Windows CredSSP AllowFreshCredentials na WSMan/Delegate v klientovi.
Pokud zadáte Server, provede se následující akce. Toto nastavení zásad umožňuje serveru fungovat jako delegát pro klienty.
- Povolí CredSSP na serveru.
- Nastaví nastavení WS-Management
\<localhost|computername\>\Service\Auth\CredSSPna true.
| Typ: | String |
| Přípustné hodnoty: | Client, Server |
| Position: | 0 |
| Default value: | None |
| Vyžadováno: | True |
| Přijmout vstup kanálu: | False |
| Přijmout zástupné znaky: | False |
Vstupy
None
Do této rutiny nemůžete roušit objekty.
Výstupy
Pokud je ověřování CredSSP úspěšně povolené, vrátí tato rutina objekt XMLElement.
Poznámky
Pokud chcete zakázat ověřování CredSSP, použijte rutinu Disable-WSManCredSSP.
