Enable-WSManCredSSP
Aktiviert die Authentifizierung des Credential Security Support Provider (CredSSP) auf einem Computer.
Syntax
Enable-WSManCredSSP
[[-DelegateComputer] <String[]>]
[-Force]
[-Role] <String>
[<CommonParameters>] Beschreibung
Das cmdlet Enable-WSManCredSSP aktiviert die CredSSP-Authentifizierung auf einem Client oder auf einem Servercomputer.
Wenn die CredSSP-Authentifizierung verwendet wird, werden die Benutzeranmeldeinformationen an einen Remotecomputer übergeben, der authentifiziert werden soll. Dieser Authentifizierungstyp wurde für Befehle entwickelt, die eine Remotesitzung aus einer anderen Remotesitzung erstellen. Wenn Sie beispielsweise einen Hintergrundauftrag auf einem Remotecomputer ausführen möchten, verwenden Sie diese Art von Authentifizierung.
Enable-WSManCredSSP kann CredSSP auf einem Client- oder einem Server-aktivieren. Um CredSSP auf einem Client zu aktivieren, geben Sie Client- im parameter Role an. Clients delegieren explizite Anmeldeinformationen an einen Server, wenn die Serverauthentifizierung erreicht wird. Um CredSSP auf einem Server zu aktivieren, geben Sie Server- im Parameter Role an. Ein Server fungiert als Stellvertretung für Clients. Weitere Informationen finden Sie unter Rollen- im Abschnitt "Parameter".
Vorsicht
Die CredSSP-Authentifizierung delegiert die Benutzeranmeldeinformationen vom lokalen Computer an einen Remotecomputer. Diese Vorgehensweise erhöht das Sicherheitsrisiko des Remotevorgangs. Wenn der Remotecomputer kompromittiert wird, können die Anmeldeinformationen verwendet werden, um die Netzwerksitzung zu steuern.
Beispiele
Beispiel 1: Delegieren von Clientanmeldeinformationen
In diesem Beispiel können die Clientanmeldeinformationen mithilfe des vollqualifizierten Domänennamens an einen Computer delegiert werden.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "Server02.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueBeispiel 2: Delegieren von Clientanmeldeinformationen an alle Computer in einer Domäne
In diesem Beispiel können die Clientanmeldeinformationen an alle Computer in der fabrikam.com Domäne delegiert werden. Das Sternchen (*) gibt alle Computer an.
Anmerkung
Die Verwendung von Wildcards mit dem parameter DelegateComputer kann CredSSP auf mehr Computern als erforderlich aktivieren.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "*.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueBeispiel 3: Delegieren von Clientanmeldeinformationen an mehrere Computer
In diesem Beispiel können die Clientanmeldeinformationen an mehrere Computer delegiert werden.
$servers = "server02.fabrikam.com", "server03.fabrikam.com", "server04.fabrikam.com"
Enable-WSManCredSSP -Role "Client" -DelegateComputer $servers
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueDie $servers Variable enthält eine Liste von Servernamen.
Enable-WSManCredSSP verwendet den Parameter Role, um die rolle Client- anzugeben. Die DelegateComputer- ruft die Computernamen aus der variablen $servers ab.
Beispiel 4: Zulassen, dass ein Computer als Stellvertretung fungiert
In diesem Beispiel kann ein Computer als Stellvertretung für eine andere fungieren. Das in den früheren Beispielen gezeigte Enable-WSManCredSSP-Cmdlet aktiviert nur die CredSSP-Authentifizierung auf dem Client und gibt die Remotecomputer an, die in ihrem Auftrag handeln können. Damit der Remotecomputer als Stellvertretung für den Client fungiert, muss das CredSSP-Element im Dienst- Knoten von WSMan auf "true" festgelegt sein. In diesem Beispiel wird das CredSSP-Element im Service Knoten von WSMan auf "true" festgelegt.
Enable-WSManCredSSP -Role "Server"Beispiel 5: Zulassen, dass ein Computer mithilfe von Set-Item als Stellvertretung fungiert
In diesem Beispiel kann ein Computer als Stellvertretung für einen anderen Computer fungieren. Die in den vorherigen Beispielen gezeigten Enable-WSManCredSSP Befehle aktivieren die CredSSP-Authentifizierung nur auf dem Clientcomputer, und sie geben die Remotecomputer an, die im Auftrag des Clientcomputers handeln können. Damit der Remotecomputer als Stellvertretung für den Clientcomputer fungiert, muss das CredSSP-Element im Dienstverzeichnis des WSMan-Anbieters auf "true" festgelegt sein.
Connect-WSMan -ComputerName "server02"
Set-Item -Path "WSMan:\server02\service\auth\credSSP" -Value $true
Connect-WSMan erstellt eine Verbindung mit dem Remotecomputer Server02.
Set-Item verwendet den Parameter Path, um den Standort des WSMan Anbieters anzugeben. Der parameter Value legt die Einstellung Service auf "true" fest.
Parameter
-DelegateComputer
Gibt Server an, an die Clientanmeldeinformationen delegiert werden. Die bewährte Methode besteht darin, vollqualifizierte Domänennamen zu verwenden.
Wildcards werden akzeptiert, können credSSP jedoch auf mehr Computern als erforderlich aktivieren.
Wenn der parameter RoleClientist, müssen Sie diesen Parameter angeben. Wenn RolleServer-ist, geben Sie diesen Parameter nicht an.
| Typ: | String[] |
| Position: | 1 |
| Standardwert: | None |
| Erforderlich: | False |
| Pipelineeingabe akzeptieren: | False |
| Platzhalterzeichen akzeptieren: | True |
-Force
Erzwingt die Ausführung des Befehls, ohne eine Benutzerbestätigung zu verlangen.
| Typ: | SwitchParameter |
| Position: | Named |
| Standardwert: | False |
| Erforderlich: | False |
| Pipelineeingabe akzeptieren: | False |
| Platzhalterzeichen akzeptieren: | False |
-Role
Gibt an, ob CredSSP als Client oder server aktiviert werden soll. Die zulässigen Werte für diesen Parameter sind: Client- und Server-.
Wenn Sie Client-angeben, werden die folgenden Aktionen ausgeführt. Mit diesen Einstellungen kann der Client explizite Anmeldeinformationen an einen Server delegieren, wenn die Serverauthentifizierung erreicht wird.
- Aktiviert CredSSP auf dem Client.
- Legt die WS-Management Einstellung
\<localhost|computername\>\Client\Auth\CredSSPauf "true" fest. - Legt die Windows CredSSP-Richtlinie AllowFreshCredentials- auf WSMan/Delegate auf dem Client fest.
Wenn Sie Server-angeben, werden die folgenden Aktionen ausgeführt. Diese Richtlinieneinstellung ermöglicht es dem Server, als Stellvertretung für Clients zu fungieren.
- Aktiviert CredSSP auf dem Server.
- Legt die WS-Management Einstellung
\<localhost|computername\>\Service\Auth\CredSSPauf "true" fest.
| Typ: | String |
| Zulässige Werte: | Client, Server |
| Position: | 0 |
| Standardwert: | None |
| Erforderlich: | True |
| Pipelineeingabe akzeptieren: | False |
| Platzhalterzeichen akzeptieren: | False |
Eingaben
None
Sie können keine Objekte an dieses Cmdlet weiterleiten.
Ausgaben
Wenn die CredSSP-Authentifizierung erfolgreich aktiviert ist, gibt dieses Cmdlet ein XMLElement--Objekt zurück.
Hinweise
Verwenden Sie das Cmdlet Disable-WSManCredSSP, um die CredSSP-Authentifizierung zu deaktivieren.
