Enable-WSManCredSSP
Povolí v počítači ověřování zprostředkovatele podpory zabezpečení přihlašovacích údajů (CredSSP).
Syntaxe
Enable-WSManCredSSP
[[-DelegateComputer] <String[]>]
[-Force]
[-Role] <String>
[<CommonParameters>] Description
Tato rutina je dostupná jenom na platformě Windows.
Rutina Enable-WSManCredSSP povolí ověřování CredSSP na klientovi nebo na serverovém počítači.
Při použití ověřování CredSSP se přihlašovací údaje uživatele předávají vzdálenému počítači, který se má ověřit. Tento typ ověřování je určený pro příkazy, které vytvoří vzdálenou relaci z jiné vzdálené relace. Pokud například chcete spustit úlohu na pozadí na vzdáleném počítači, použijte tento druh ověřování.
Enable-WSManCredSSPmůže povolit CredSSP na klientovi nebo serveru. Chcete-li v klientovi povolit CredSSP, zadejte v parametru role klienta. Klienti deleguje explicitní přihlašovací údaje na server, když se dosáhne ověření serveru. Pokud chcete na serveru povolit CredSSP, zadejte server v parametru role . Server funguje jako delegát pro klienty. Další podrobnosti najdete v části Parametry role.
Upozornění
Ověřování CredSSP deleguje přihlašovací údaje uživatele z místního počítače na vzdálený počítač. Tento postup zvyšuje riziko zabezpečení vzdálené operace. Pokud dojde k ohrožení zabezpečení vzdáleného počítače, lze při předání přihlašovacích údajů použít k řízení síťové relace.
Příklady
Příklad 1: Delegování přihlašovacích údajů klienta
Tento příklad umožňuje delegovat přihlašovací údaje klienta do počítače pomocí plně kvalifikovaného názvu domény.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "Server02.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : truePříklad 2: Delegování přihlašovacích údajů klienta na všechny počítače v doméně
Tento příklad umožňuje delegovat přihlašovací údaje klienta na všechny počítače v fabrikam.com doméně. Zástupný znak hvězdičky (*) určuje všechny počítače.
Poznámka:
Použití zástupných znaků s parametrem DelegateComputer může povolit CredSSP na více počítačích, než je potřeba.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "*.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : truePříklad 3: Delegování přihlašovacích údajů klienta na více počítačů
Tento příklad umožňuje delegovat přihlašovací údaje klienta do více počítačů.
$servers = "server02.fabrikam.com", "server03.fabrikam.com", "server04.fabrikam.com"
Enable-WSManCredSSP -Role "Client" -DelegateComputer $servers
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueProměnná $servers obsahuje seznam názvů serverů. Enable-WSManCredSSPpoužívá parametr role k určení role klienta. DelegateComputer získá názvy počítačů z $servers proměnné.
Příklad 4: Povolení, aby počítač fungoval jako delegát
Tento příklad umožňuje počítači jednat jako delegát pro jiný. Rutina Enable-WSManCredSSP uvedená v předchozích příkladech povoluje ověřování CredSSP pouze na klientovi a určuje vzdálené počítače, které mohou jednat jeho jménem. Aby vzdálený počítač fungoval jako delegát klienta, musí být položka CredSSP v uzlu služby wsMan nastavena na hodnotu true. Tento příklad nastaví položku CredSSP v uzlu služby WSMan na true.
Enable-WSManCredSSP -Role "Server"Příklad 5: Povolení, aby počítač fungoval jako delegát pomocí set-Item
Tento příklad umožňuje, aby počítač fungoval jako delegát pro jiný počítač. Příkazy Enable-WSManCredSSP uvedené v předchozích příkladech umožňují ověřování CredSSP pouze na klientském počítači a určují vzdálené počítače, které mohou jednat jménem klientského počítače. Aby vzdálený počítač fungoval jako delegát klientského počítače, musí být položka CredSSP v adresáři služby zprostředkovatele WSMan nastavena na hodnotu true.
Connect-WSMan -ComputerName "server02"
Set-Item -Path "WSMan:\server02\service\auth\credSSP" -Value $TrueConnect-WSMan vytvoří připojení ke vzdálenému počítači, server02. Set-Itempoužívá parametr Path k určení umístění zprostředkovatele WSMan. Parametr Value nastaví nastavení služby na hodnotu true.
Parametry
-DelegateComputer
Určuje servery, na které jsou delegovány přihlašovací údaje klienta. Osvědčeným postupem je použít plně kvalifikované názvy domén.
Zástupné znaky jsou přijímány, ale můžou povolit CredSSP na více počítačích, než je potřeba.
Pokud je parametr role Klient, je nutné zadat tento parametr. Pokud je role Server, nezadávejte tento parametr.
| Typ: | String[] |
| Position: | 1 |
| Default value: | None |
| Vyžadováno: | False |
| Přijmout vstup kanálu: | False |
| Přijmout zástupné znaky: | True |
-Force
Vynutí spuštění příkazu bez výzvy k potvrzení uživatele.
| Typ: | SwitchParameter |
| Position: | Named |
| Default value: | False |
| Vyžadováno: | False |
| Přijmout vstup kanálu: | False |
| Přijmout zástupné znaky: | False |
-Role
Určuje, jestli se má CredSSP povolit jako klient nebo jako server. Přijatelné hodnoty pro tento parametr jsou: Client a Server.
Pokud zadáte klienta, provede se následující akce. Tato nastavení umožňují klientovi delegovat explicitní přihlašovací údaje na server, když se dosáhne ověření serveru.
- Povolí CredSSP v klientovi.
- Nastaví nastavení
\<localhost|computername\>\Client\Auth\CredSSPWS-Management na hodnotu true. - Nastaví zásadu Windows CredSSP AllowFreshCredentials na WSMan/Delegate v klientovi.
Pokud zadáte Server, provede se následující akce. Toto nastavení zásad umožňuje serveru fungovat jako delegát pro klienty.
- Povolí CredSSP na serveru.
- Nastaví nastavení
\<localhost|computername\>\Service\Auth\CredSSPWS-Management na hodnotu true.
| Typ: | String |
| Přípustné hodnoty: | Client, Server |
| Position: | 0 |
| Default value: | None |
| Vyžadováno: | True |
| Přijmout vstup kanálu: | False |
| Přijmout zástupné znaky: | False |
Vstupy
None
Do této rutiny nemůžete roušit objekty.
Výstupy
Pokud je ověřování CredSSP úspěšně povolené, vrátí tato rutina objekt XMLElement .
Poznámky
Pokud chcete zakázat ověřování CredSSP, použijte tuto rutinu Disable-WSManCredSSP .
