Enable-WSManCredSSP
Aktiviert die Authentifizierung des Credential Security Support Provider (CredSSP) auf einem Computer.
Syntax
Enable-WSManCredSSP
[[-DelegateComputer] <String[]>]
[-Force]
[-Role] <String>
[<CommonParameters>]
Beschreibung
Das Enable-WSManCredSSP
Cmdlet aktiviert die CredSSP-Authentifizierung auf einem Client oder auf einem Servercomputer.
Wenn die CredSSP-Authentifizierung verwendet wird, werden die Benutzeranmeldeinformationen an einen Remotecomputer übergeben, der authentifiziert werden soll. Dieser Authentifizierungstyp wurde für Befehle entwickelt, die eine Remotesitzung aus einer anderen Remotesitzung erstellen. Wenn Sie beispielsweise einen Hintergrundauftrag auf einem Remotecomputer ausführen möchten, verwenden Sie diese Art von Authentifizierung.
Enable-WSManCredSSP
kann CredSSP auf einem Client oder einem Server aktivieren. Um CredSSP auf einem Client zu aktivieren, geben Sie den Client im Role-Parameter an. Clients delegieren explizite Anmeldeinformationen an einen Server, wenn die Serverauthentifizierung erreicht wird. Um CredSSP auf einem Server zu aktivieren, geben Sie den Server im Role-Parameter an. Ein Server fungiert als Stellvertretung für Clients. Weitere Details finden Sie im Abschnitt "Parameter" unter "Rolle ".
Achtung
Die CredSSP-Authentifizierung delegiert die Benutzeranmeldeinformationen vom lokalen Computer an einen Remotecomputer. Dieser Vorgang erhöht das Sicherheitsrisiko des Remotevorgangs. Wenn die Sicherheit des Remotecomputers gefährdet ist, während Anmeldeinformationen an ihn übergeben werden, können die Anmeldeinformationen zum Steuern der Netzwerksitzung verwendet werden.
Beispiele
Beispiel 1: Delegieren von Clientanmeldeinformationen
In diesem Beispiel können die Clientanmeldeinformationen mithilfe des vollqualifizierten Domänennamens an einen Computer delegiert werden.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "Server02.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : true
Beispiel 2: Delegieren von Clientanmeldeinformationen an alle Computer in einer Domäne
In diesem Beispiel können die Clientanmeldeinformationen an alle Computer in der domäne fabrikam.com delegiert werden. Das Sternchen (*
) gibt alle Computer an.
Hinweis
Die Verwendung von Wildcards mit dem Parameter DelegateComputer kann CredSSP auf mehr Computern als erforderlich aktivieren.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "*.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : true
Beispiel 3: Delegieren von Clientanmeldeinformationen an mehrere Computer
In diesem Beispiel können die Clientanmeldeinformationen an mehrere Computer delegiert werden.
$servers = "server02.fabrikam.com", "server03.fabrikam.com", "server04.fabrikam.com"
Enable-WSManCredSSP -Role "Client" -DelegateComputer $servers
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : true
Die $servers
Variable enthält eine Liste von Servernamen. Enable-WSManCredSSP
verwendet den Role-Parameter , um die Clientrolle anzugeben. Der DelegateComputer ruft die Computernamen aus der $servers
Variablen ab.
Beispiel 4: Zulassen, dass ein Computer als Stellvertretung fungiert
In diesem Beispiel kann ein Computer als Stellvertretung für eine andere fungieren. Das Enable-WSManCredSSP
cmdlet, das in den früheren Beispielen gezeigt wird, aktiviert nur die CredSSP-Authentifizierung auf dem Client und gibt die Remotecomputer an, die in seinem Auftrag handeln können. Damit der Remotecomputer als Stellvertretung für den Client fungiert, muss das CredSSP-Element im Dienstknoten von WSMan auf "true" festgelegt sein. In diesem Beispiel wird das CredSSP-Element im Dienstknoten von WSMan auf "true" festgelegt.
Enable-WSManCredSSP -Role "Server"
Beispiel 5: Zulassen, dass ein Computer mithilfe von Set-Item als Stellvertretung fungiert
In diesem Beispiel kann ein Computer als Stellvertretung für einen anderen Computer fungieren. Die Enable-WSManCredSSP
befehle, die in den früheren Beispielen gezeigt werden, aktivieren die CredSSP-Authentifizierung nur auf dem Clientcomputer, und sie geben die Remotecomputer an, die im Auftrag des Clientcomputers handeln können. Damit der Remotecomputer als Delegat für den Clientcomputer fungieren kann, muss das CredSSP-Element im Dienstverzeichnis des WSMan-Anbieters auf „True“ festgelegt werden.
Connect-WSMan -ComputerName "server02"
Set-Item -Path "WSMan:\server02\service\auth\credSSP" -Value $True
Connect-WSMan
erstellt eine Verbindung mit dem Remotecomputer server02. Set-Item
verwendet den Path-Parameter , um den Speicherort des WSMan-Anbieters anzugeben. Der Parameter Value legt die Diensteinstellung auf "true" fest.
Parameter
-DelegateComputer
Gibt Server an, an die Clientanmeldeinformationen delegiert werden. Die bewährte Methode besteht darin, vollqualifizierte Domänennamen zu verwenden.
Wildcards werden akzeptiert, können credSSP jedoch auf mehr Computern als erforderlich aktivieren.
Wenn der Role-Parameter "Client" lautet, müssen Sie diesen Parameter angeben. Wenn "Role" der Server ist, geben Sie diesen Parameter nicht an.
Typ: | String[] |
Position: | 1 |
Standardwert: | None |
Erforderlich: | False |
Pipelineeingabe akzeptieren: | False |
Platzhalterzeichen akzeptieren: | True |
-Force
Erzwingt die Ausführung des Befehls ohne Aufforderung zur Bestätigung durch den Benutzer.
Typ: | SwitchParameter |
Position: | Named |
Standardwert: | False |
Erforderlich: | False |
Pipelineeingabe akzeptieren: | False |
Platzhalterzeichen akzeptieren: | False |
-Role
Gibt an, ob CredSSP als Client oder server aktiviert werden soll. Die zulässigen Werte für diesen Parameter sind: Client und Server.
Wenn Sie Client angeben, werden die folgenden Aktionen ausgeführt. Diese Einstellungen ermöglichen es dem Client, nach erfolgreicher Serverauthentifizierung explizite Anmeldeinformationen an einen Server zu delegieren.
- Aktiviert CredSSP auf dem Client.
- Legt die WS-Management-Einstellung
\<localhost|computername\>\Client\Auth\CredSSP
auf "true" fest. - Legt die Windows CredSSP-Richtlinie AllowFreshCredentials auf WSMan/Delegate auf dem Client fest.
Wenn Sie Server angeben, werden die folgenden Aktionen ausgeführt. Durch diese Richtlinieneinstellung kann der Server als Delegat für Clients fungieren.
- Aktiviert CredSSP auf dem Server.
- Legt die WS-Management-Einstellung
\<localhost|computername\>\Service\Auth\CredSSP
auf "true" fest.
Typ: | String |
Zulässige Werte: | Client, Server |
Position: | 0 |
Standardwert: | None |
Erforderlich: | True |
Pipelineeingabe akzeptieren: | False |
Platzhalterzeichen akzeptieren: | False |
Eingaben
None
Sie können keine Objekte an dieses Cmdlet weiterleiten.
Ausgaben
Wenn die CredSSP-Authentifizierung erfolgreich aktiviert ist, gibt dieses Cmdlet ein XMLElement-Objekt zurück.
Hinweise
Verwenden Sie das Cmdlet, um die Disable-WSManCredSSP
CredSSP-Authentifizierung zu deaktivieren.