Enable-WSManCredSSP
Habilita la autenticación del proveedor de soporte técnico de seguridad de credenciales (CredSSP) en un equipo.
Sintaxis
Enable-WSManCredSSP
[[-DelegateComputer] <String[]>]
[-Force]
[-Role] <String>
[<CommonParameters>]
Description
Este cmdlet solo está disponible en la plataforma Windows.
El Enable-WSManCredSSP
cmdlet habilita la autenticación CredSSP en un cliente o en un equipo servidor.
Cuando se usa la autenticación CredSSP, las credenciales de usuario se pasan a un equipo remoto para autenticarse. Este tipo de autenticación está diseñado para comandos que crean una sesión remota desde otra sesión remota. Por ejemplo, si desea ejecutar un trabajo en segundo plano en un equipo remoto, use este tipo de autenticación.
Enable-WSManCredSSP
puede habilitar CredSSP en un cliente o un servidor. Para habilitar CredSSP en un cliente, especifique Client en el parámetro Role . Los clientes delegan credenciales explícitas en un servidor cuando se logra la autenticación del servidor. Para habilitar CredSSP en un servidor, especifique Server en el parámetro Role . Un servidor actúa como delegado para los clientes. Para obtener más información, consulte Rol en la sección Parámetros.
Precaución
La autenticación credSSP delega las credenciales de usuario del equipo local a un equipo remoto. Este procedimiento aumenta el riesgo de seguridad de la operación remota. Si el equipo remoto ve su seguridad comprometida, al pasar al equipo las credenciales, estas pueden utilizarse para controlar la sesión de red.
Ejemplos
Ejemplo 1: Delegar credenciales de cliente
En este ejemplo se permiten delegar las credenciales de cliente en un equipo mediante el nombre de dominio completo.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "Server02.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : true
Ejemplo 2: Delegar credenciales de cliente en todos los equipos de un dominio
En este ejemplo se permiten delegar las credenciales de cliente en todos los equipos del dominio fabrikam.com . El carácter comodín asterisco (*
) especifica todos los equipos.
Nota:
El uso de caracteres comodín con el parámetro DelegateComputer puede habilitar CredSSP en más equipos de los necesarios.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "*.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : true
Ejemplo 3: Delegación de credenciales de cliente en varios equipos
En este ejemplo se permiten delegar las credenciales de cliente en varios equipos.
$servers = "server02.fabrikam.com", "server03.fabrikam.com", "server04.fabrikam.com"
Enable-WSManCredSSP -Role "Client" -DelegateComputer $servers
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : true
La $servers
variable contiene una lista de nombres de servidor. Enable-WSManCredSSP
usa el parámetro Role para especificar el rol cliente . DelegateComputer obtiene los nombres de equipo de la $servers
variable .
Ejemplo 4: Permitir que un equipo actúe como delegado
En este ejemplo se permite que un equipo actúe como delegado para otro. El Enable-WSManCredSSP
cmdlet, que se muestra en los ejemplos anteriores, solo habilita la autenticación CredSSP en el cliente y especifica los equipos remotos que pueden actuar en su nombre. Para que el equipo remoto actúe como delegado para el cliente, el elemento CredSSP en el nodo Servicio de WSMan debe establecerse en true. En este ejemplo se establece el elemento CredSSP en el nodo Servicio de WSMan en true.
Enable-WSManCredSSP -Role "Server"
Ejemplo 5: Permitir que un equipo actúe como delegado mediante Set-Item
En este ejemplo se permite que un equipo actúe como delegado para otro equipo. Los Enable-WSManCredSSP
comandos, que se muestran en los ejemplos anteriores, habilitan la autenticación CredSSP solo en el equipo cliente y especifican los equipos remotos que pueden actuar en nombre del equipo cliente. Para que el equipo remoto actúe como delegado del equipo cliente, el elemento CredSSP que se encuentra en el directorio Service del proveedor de WSMan debe establecerse en "true".
Connect-WSMan -ComputerName "server02"
Set-Item -Path "WSMan:\server02\service\auth\credSSP" -Value $True
Connect-WSMan
crea una conexión al equipo remoto, server02. Set-Item
usa el parámetro Path para especificar la ubicación del proveedor WSMan . El parámetro Value establece el valor del servicio en true.
Parámetros
-DelegateComputer
Especifica los servidores a los que se deleguen las credenciales de cliente. El procedimiento recomendado es usar nombres de dominio completos.
Se aceptan caracteres comodín, pero pueden habilitar CredSSP en más equipos de los necesarios.
Si el parámetro Role es Client, debe especificar este parámetro. Si Role es Server, no especifique este parámetro.
Tipo: | String[] |
Posición: | 1 |
Valor predeterminado: | None |
Requerido: | False |
Aceptar entrada de canalización: | False |
Aceptar caracteres comodín: | True |
-Force
Obliga al comando a ejecutarse sin solicitar la confirmación del usuario.
Tipo: | SwitchParameter |
Posición: | Named |
Valor predeterminado: | False |
Requerido: | False |
Aceptar entrada de canalización: | False |
Aceptar caracteres comodín: | False |
-Role
Especifica si se debe habilitar CredSSP como cliente o como servidor. Los valores aceptables para este parámetro son: Cliente y Servidor.
Si especifica Cliente, se realizan las siguientes acciones. estas opciones permiten al cliente delegar credenciales explícitas a un servidor cuando se realiza correctamente la autenticación en el servidor.
- Habilita CredSSP en el cliente.
- Establece la configuración
\<localhost|computername\>\Client\Auth\CredSSP
WS-Management en true. - Establece la directiva De Windows CredSSP AllowFreshCredentials en WSMan/Delegate en el cliente.
Si especifica Servidor, se realizan las siguientes acciones. Esta configuración de directiva permite al servidor actuar como delegado de los clientes.
- Habilita CredSSP en el servidor.
- Establece la configuración
\<localhost|computername\>\Service\Auth\CredSSP
WS-Management en true.
Tipo: | String |
Valores aceptados: | Client, Server |
Posición: | 0 |
Valor predeterminado: | None |
Requerido: | True |
Aceptar entrada de canalización: | False |
Aceptar caracteres comodín: | False |
Entradas
None
No se pueden canalizar objetos a este cmdlet.
Salidas
Si la autenticación CredSSP está habilitada correctamente, este cmdlet devuelve un objeto XMLElement .
Notas
Para deshabilitar la autenticación CredSSP, use el Disable-WSManCredSSP
cmdlet .