Sdílet prostřednictvím

Ověřování pro vzdálená připojení

  • Článek

Vzdálená správa systému Windows udržuje zabezpečení komunikace mezi počítači díky podpoře několika standardních metod ověřování a šifrování zpráv.

Výchozí přístup ke skupině

Během instalace vytvoří WinRM místní skupinu WinRMRemoteWMIUsers__. WinRM pak omezí vzdálený přístup na libovolného uživatele, který není členem místní skupiny pro správu nebo skupiny WinRMRemoteWMIUsers__. Do WinRMRemoteWMIUsers__ můžete přidat místního uživatele, uživatele domény nebo skupinu domén zadáním net localgroup WinRMRemoteWMIUsers__ /add <doména>\<uživatelské jméno> příkazového řádku. Volitelně můžete pomocí zásad skupiny přidat uživatele do skupiny.

Výchozí nastavení ověřování

Výchozí přihlašovací údaje, uživatelské jméno a heslo jsou přihlašovací údaje pro přihlášený uživatelský účet, který spouští skript.

Změna na jiný účet na vzdáleném počítači

  1. Zadejte přihlašovací údaje vConnectionOptions nebo IWSManConnectionOptions objekt a zadejte je do volání CreateSession.
  2. Nastavte WSManFlagCredUserNamePassword v příznaky parametru ve volání CreateSession.

Následující seznam obsahuje seznam toho, co se stane, když se skript nebo aplikace spustí pod výchozími přihlašovacími údaji:

  • kerberos je výchozí metoda ověřování, pokud je klient v doméně a vzdálený cílový řetězec není jedním z následujících: localhost, 127.0.0.1 nebo [::1].
  • Negotiate je výchozí metoda, pokud klient není v doméně, ale vzdálený cílový řetězec je jedním z následujících: localhost, 127.0.0.1 nebo [::1].

Pokud zadáte explicitní přihlašovací údaje s ConnectionOptions objekt, Negotiate je výchozí metoda. Vyjednat ověřování určuje, jestli je průběžná metoda ověřování Kerberos nebo NTLM v závislosti na tom, jestli jsou počítače v doméně nebo pracovní skupině. Pokud se připojujete ke vzdálenému cílovému počítači pomocí místního účtu, měl by mít tento účet předponu názvu počítače. Například myComputer\myUsername.

Pokud zadáte Vyjednat, Digest nebo základní ověřování a nepovedete zadat ConnectionOptions objektu, zobrazí se chyba oznamující, že jsou vyžadovány explicitní přihlašovací údaje. Pokud https není přenos, musí být cílový vzdálený počítač nakonfigurovaný v seznamu důvěryhodných hostitelských počítačů.

Další informace o typech ověřování, které jsou povoleny ve výchozím nastavení konfigurace, naleznete v tématu Instalace a konfigurace pro vzdálenou správu systému Windows.

Základní ověřování

Pokud chcete explicitně vytvořit ověřování Basic ve volání WSMan.CreateSession, nastavte WSManFlagUseBasic a WSManFlagCredUserNamePassword příznaky v parametru příznaky. Základní ověřování je zakázané ve výchozím nastavení konfigurace klienta WinRM i serveru WinRM.

Ověřování hodnotou hash

Pokud chcete explicitně vytvořit ověřováníDigest ve volání WSMan.CreateSession, nastavte WSManFlagUseDigest příznak příznakem příznak. Hodnota Hash není podporována. Nelze ji nakonfigurovat pro součást serveru WinRM.

Vyjednat ověřování

Pokud chcete explicitně vytvořit ověřování Negotiate označované také jako integrované ověřování systému Windows, v volání WSMan.CreateSessionnastavte WSManFlagUseNegotiate příznak v příznaky parametru.

řízení uživatelských účtů (UAC) ovlivňuje přístup ke službě WinRM. Při použití ověřování Negotiate v pracovní skupině má přístup ke službě pouze předdefinovaný účet správce. Pokud chcete povolit přístup ke službě všem účtům ve skupině Administrators, nastavte následující hodnotu registru:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolicy = 1

Ověřování protokolem Kerberos

Pokud chcete explicitně vytvořit ověřování protokolu Kerberos ve volání WSMan.CreateSession, nastavte příznak WSManFlagUseKerberos v parametru příznaky. Klient i serverové počítače musí být připojené k doméně. Pokud jako metodu ověřování používáte Kerberos, nemůžete použít IP adresu ve volání WSMan.CreateSession nebo IWSMan::CreateSession.

Ověřování na základě klientského certifikátu

Chcete-li vytvořit ověřování na základě klientského certifikátu ve volání WSMan.CreateSession, nastavte WSManFlagUseClientCertifica te příznak v příznaky parametru.

Nejprve musíte povolit ověřování certifikátů v klientovi i službě pomocí nástroje příkazového řádku Winrm. Další informace naleznete v tématu Povolení možností ověřování. Musíte také vytvořit položku v tabulce CertMapping na počítači serveru WinRM. Tím se vytvoří mapování mezi jedním nebo více certifikáty a místním účtem. Po použití certifikátu k ověřování a autorizaci se příslušný místní účet použije pro operace prováděné službou WinRM.

Mapování lze vytvořit pro konkrétní identifikátor URI prostředku. Další informace, včetně postupu vytvoření položky tabulky CertMapping, zadejte winrm nápověda certmapping na příkazovém řádku.

Poznámka

Maximální velikost certifikátu využitelné winRM v tomto kontextu je 16 kB.

 

Povolení nebo zakázání možností ověřování

Výchozí možností ověřování při instalaci systému je Kerberos. Další informace naleznete v tématu Instalace a konfigurace pro vzdálenou správu systému Windows.

Pokud váš skript nebo aplikace vyžaduje konkrétní metodu ověřování, která není povolená, musíte změnit konfiguraci, aby bylo možné povolit tento typ ověřování. Tuto změnu lze provést pomocí nástroje příkazového řádku Winrm nebo prostřednictvím zásad skupiny pro objekt zásad skupiny Windows Remote Management. Můžete se také rozhodnout zakázat určité metody ověřování.

Povolení nebo zakázání ověřování pomocí nástroje Winrm

  1. Pokud chcete nastavit konfiguraci klienta WinRM, použijte příkaz Winrm Set a zadejte klienta. Následující příkaz například zakáže ověřování hodnotou hash pro klienta.

    winrm set winrm/config/client/auth @{Digest="false"}

  2. Pokud chcete nastavit konfiguraci pro server WinRM, použijte příkaz Winrm Set a zadejte službu. Například následující příkaz povolí pro službu ověřování protokolem Kerberos.

    winrm set winrm/config/service/auth @{Kerberos="true"}

o vzdálené správy systému Windows

WSMan.CreateSession

pomocí vzdálené správy systému Windows