Freigeben über


Enable-WSManCredSSP

Aktiviert die Authentifizierung des Credential Security Support Provider (CredSSP) auf einem Computer.

Syntax

Enable-WSManCredSSP
      [[-DelegateComputer] <String[]>]
      [-Force]
      [-Role] <String>
      [<CommonParameters>]

Beschreibung

Das Enable-WSManCredSSP Cmdlet aktiviert die CredSSP-Authentifizierung auf einem Client oder auf einem Servercomputer. Wenn die CredSSP-Authentifizierung verwendet wird, werden die Benutzeranmeldeinformationen an einen Remotecomputer übergeben, der authentifiziert werden soll. Dieser Authentifizierungstyp wurde für Befehle entwickelt, die eine Remotesitzung aus einer anderen Remotesitzung erstellen. Wenn Sie beispielsweise einen Hintergrundauftrag auf einem Remotecomputer ausführen möchten, verwenden Sie diese Art von Authentifizierung.

Enable-WSManCredSSP kann CredSSP auf einem Client oder einem Server aktivieren. Um CredSSP auf einem Client zu aktivieren, geben Sie den Client im Role-Parameter an. Clients delegieren explizite Anmeldeinformationen an einen Server, wenn die Serverauthentifizierung erreicht wird. Um CredSSP auf einem Server zu aktivieren, geben Sie den Server im Role-Parameter an. Ein Server fungiert als Stellvertretung für Clients. Weitere Details finden Sie im Abschnitt "Parameter" unter "Rolle ".

Achtung

Die CredSSP-Authentifizierung delegiert die Benutzeranmeldeinformationen vom lokalen Computer an einen Remotecomputer. Dieser Vorgang erhöht das Sicherheitsrisiko des Remotevorgangs. Wenn die Sicherheit des Remotecomputers gefährdet ist, während Anmeldeinformationen an ihn übergeben werden, können die Anmeldeinformationen zum Steuern der Netzwerksitzung verwendet werden.

Beispiele

Beispiel 1: Delegieren von Clientanmeldeinformationen

In diesem Beispiel können die Clientanmeldeinformationen mithilfe des vollqualifizierten Domänennamens an einen Computer delegiert werden.

Enable-WSManCredSSP -Role "Client" -DelegateComputer "Server02.fabrikam.com"

cfg         : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

Beispiel 2: Delegieren von Clientanmeldeinformationen an alle Computer in einer Domäne

In diesem Beispiel können die Clientanmeldeinformationen an alle Computer in der domäne fabrikam.com delegiert werden. Das Sternchen (*) gibt alle Computer an.

Hinweis

Die Verwendung von Wildcards mit dem Parameter DelegateComputer kann CredSSP auf mehr Computern als erforderlich aktivieren.

Enable-WSManCredSSP -Role "Client" -DelegateComputer "*.fabrikam.com"

cfg         : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

Beispiel 3: Delegieren von Clientanmeldeinformationen an mehrere Computer

In diesem Beispiel können die Clientanmeldeinformationen an mehrere Computer delegiert werden.

$servers = "server02.fabrikam.com", "server03.fabrikam.com", "server04.fabrikam.com"
Enable-WSManCredSSP -Role "Client" -DelegateComputer $servers

cfg         : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

Die $servers Variable enthält eine Liste von Servernamen. Enable-WSManCredSSP verwendet den Role-Parameter , um die Clientrolle anzugeben. Der DelegateComputer ruft die Computernamen aus der $servers Variablen ab.

Beispiel 4: Zulassen, dass ein Computer als Stellvertretung fungiert

In diesem Beispiel kann ein Computer als Stellvertretung für eine andere fungieren. Das Enable-WSManCredSSP cmdlet, das in den früheren Beispielen gezeigt wird, aktiviert nur die CredSSP-Authentifizierung auf dem Client und gibt die Remotecomputer an, die in seinem Auftrag handeln können. Damit der Remotecomputer als Stellvertretung für den Client fungiert, muss das CredSSP-Element im Dienstknoten von WSMan auf "true" festgelegt sein. In diesem Beispiel wird das CredSSP-Element im Dienstknoten von WSMan auf "true" festgelegt.

Enable-WSManCredSSP -Role "Server"

Beispiel 5: Zulassen, dass ein Computer mithilfe von Set-Item als Stellvertretung fungiert

In diesem Beispiel kann ein Computer als Stellvertretung für einen anderen Computer fungieren. Die Enable-WSManCredSSP befehle, die in den früheren Beispielen gezeigt werden, aktivieren die CredSSP-Authentifizierung nur auf dem Clientcomputer, und sie geben die Remotecomputer an, die im Auftrag des Clientcomputers handeln können. Damit der Remotecomputer als Delegat für den Clientcomputer fungieren kann, muss das CredSSP-Element im Dienstverzeichnis des WSMan-Anbieters auf „True“ festgelegt werden.

Connect-WSMan -ComputerName "server02"
Set-Item -Path "WSMan:\server02\service\auth\credSSP" -Value $True

Connect-WSMan erstellt eine Verbindung mit dem Remotecomputer server02. Set-Item verwendet den Path-Parameter , um den Speicherort des WSMan-Anbieters anzugeben. Der Parameter Value legt die Diensteinstellung auf "true" fest.

Parameter

-DelegateComputer

Gibt Server an, an die Clientanmeldeinformationen delegiert werden. Die bewährte Methode besteht darin, vollqualifizierte Domänennamen zu verwenden.

Wildcards werden akzeptiert, können credSSP jedoch auf mehr Computern als erforderlich aktivieren.

Wenn der Role-Parameter "Client" lautet, müssen Sie diesen Parameter angeben. Wenn "Role" der Server ist, geben Sie diesen Parameter nicht an.

Typ:String[]
Position:1
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:True

-Force

Erzwingt die Ausführung des Befehls ohne Aufforderung zur Bestätigung durch den Benutzer.

Typ:SwitchParameter
Position:Named
Standardwert:False
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False

-Role

Gibt an, ob CredSSP als Client oder server aktiviert werden soll. Die zulässigen Werte für diesen Parameter sind: Client und Server.

Wenn Sie Client angeben, werden die folgenden Aktionen ausgeführt. Diese Einstellungen ermöglichen es dem Client, nach erfolgreicher Serverauthentifizierung explizite Anmeldeinformationen an einen Server zu delegieren.

  • Aktiviert CredSSP auf dem Client.
  • Legt die WS-Management-Einstellung \<localhost|computername\>\Client\Auth\CredSSP auf "true" fest.
  • Legt die Windows CredSSP-Richtlinie AllowFreshCredentials auf WSMan/Delegate auf dem Client fest.

Wenn Sie Server angeben, werden die folgenden Aktionen ausgeführt. Durch diese Richtlinieneinstellung kann der Server als Delegat für Clients fungieren.

  • Aktiviert CredSSP auf dem Server.
  • Legt die WS-Management-Einstellung \<localhost|computername\>\Service\Auth\CredSSP auf "true" fest.
Typ:String
Zulässige Werte:Client, Server
Position:0
Standardwert:None
Erforderlich:True
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False

Eingaben

None

Sie können keine Objekte an dieses Cmdlet weiterleiten.

Ausgaben

XmlElement

Wenn die CredSSP-Authentifizierung erfolgreich aktiviert ist, gibt dieses Cmdlet ein XMLElement-Objekt zurück.

Hinweise

Verwenden Sie das Cmdlet, um die Disable-WSManCredSSP CredSSP-Authentifizierung zu deaktivieren.