Compartir a través de


Enable-WSManCredSSP

Habilita la autenticación del proveedor de soporte técnico de seguridad de credenciales (CredSSP) en un equipo.

Sintaxis

Enable-WSManCredSSP
      [[-DelegateComputer] <String[]>]
      [-Force]
      [-Role] <String>
      [<CommonParameters>]

Description

Este cmdlet solo está disponible en la plataforma Windows.

El Enable-WSManCredSSP cmdlet habilita la autenticación CredSSP en un cliente o en un equipo servidor. Cuando se usa la autenticación CredSSP, las credenciales de usuario se pasan a un equipo remoto para autenticarse. Este tipo de autenticación está diseñado para comandos que crean una sesión remota desde otra sesión remota. Por ejemplo, si desea ejecutar un trabajo en segundo plano en un equipo remoto, use este tipo de autenticación.

Enable-WSManCredSSP puede habilitar CredSSP en un cliente o un servidor. Para habilitar CredSSP en un cliente, especifique Client en el parámetro Role . Los clientes delegan credenciales explícitas en un servidor cuando se logra la autenticación del servidor. Para habilitar CredSSP en un servidor, especifique Server en el parámetro Role . Un servidor actúa como delegado para los clientes. Para obtener más información, consulte Rol en la sección Parámetros.

Precaución

La autenticación credSSP delega las credenciales de usuario del equipo local a un equipo remoto. Este procedimiento aumenta el riesgo de seguridad de la operación remota. Si el equipo remoto ve su seguridad comprometida, al pasar al equipo las credenciales, estas pueden utilizarse para controlar la sesión de red.

Ejemplos

Ejemplo 1: Delegar credenciales de cliente

En este ejemplo se permiten delegar las credenciales de cliente en un equipo mediante el nombre de dominio completo.

Enable-WSManCredSSP -Role "Client" -DelegateComputer "Server02.fabrikam.com"

cfg         : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

Ejemplo 2: Delegar credenciales de cliente en todos los equipos de un dominio

En este ejemplo se permiten delegar las credenciales de cliente en todos los equipos del dominio fabrikam.com . El carácter comodín asterisco (*) especifica todos los equipos.

Nota:

El uso de caracteres comodín con el parámetro DelegateComputer puede habilitar CredSSP en más equipos de los necesarios.

Enable-WSManCredSSP -Role "Client" -DelegateComputer "*.fabrikam.com"

cfg         : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

Ejemplo 3: Delegación de credenciales de cliente en varios equipos

En este ejemplo se permiten delegar las credenciales de cliente en varios equipos.

$servers = "server02.fabrikam.com", "server03.fabrikam.com", "server04.fabrikam.com"
Enable-WSManCredSSP -Role "Client" -DelegateComputer $servers

cfg         : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

La $servers variable contiene una lista de nombres de servidor. Enable-WSManCredSSP usa el parámetro Role para especificar el rol cliente . DelegateComputer obtiene los nombres de equipo de la $servers variable .

Ejemplo 4: Permitir que un equipo actúe como delegado

En este ejemplo se permite que un equipo actúe como delegado para otro. El Enable-WSManCredSSP cmdlet, que se muestra en los ejemplos anteriores, solo habilita la autenticación CredSSP en el cliente y especifica los equipos remotos que pueden actuar en su nombre. Para que el equipo remoto actúe como delegado para el cliente, el elemento CredSSP en el nodo Servicio de WSMan debe establecerse en true. En este ejemplo se establece el elemento CredSSP en el nodo Servicio de WSMan en true.

Enable-WSManCredSSP -Role "Server"

Ejemplo 5: Permitir que un equipo actúe como delegado mediante Set-Item

En este ejemplo se permite que un equipo actúe como delegado para otro equipo. Los Enable-WSManCredSSP comandos, que se muestran en los ejemplos anteriores, habilitan la autenticación CredSSP solo en el equipo cliente y especifican los equipos remotos que pueden actuar en nombre del equipo cliente. Para que el equipo remoto actúe como delegado del equipo cliente, el elemento CredSSP que se encuentra en el directorio Service del proveedor de WSMan debe establecerse en "true".

Connect-WSMan -ComputerName "server02"
Set-Item -Path "WSMan:\server02\service\auth\credSSP" -Value $True

Connect-WSMan crea una conexión al equipo remoto, server02. Set-Item usa el parámetro Path para especificar la ubicación del proveedor WSMan . El parámetro Value establece el valor del servicio en true.

Parámetros

-DelegateComputer

Especifica los servidores a los que se deleguen las credenciales de cliente. El procedimiento recomendado es usar nombres de dominio completos.

Se aceptan caracteres comodín, pero pueden habilitar CredSSP en más equipos de los necesarios.

Si el parámetro Role es Client, debe especificar este parámetro. Si Role es Server, no especifique este parámetro.

Tipo:String[]
Posición:1
Valor predeterminado:None
Requerido:False
Aceptar entrada de canalización:False
Aceptar caracteres comodín:True

-Force

Obliga al comando a ejecutarse sin solicitar la confirmación del usuario.

Tipo:SwitchParameter
Posición:Named
Valor predeterminado:False
Requerido:False
Aceptar entrada de canalización:False
Aceptar caracteres comodín:False

-Role

Especifica si se debe habilitar CredSSP como cliente o como servidor. Los valores aceptables para este parámetro son: Cliente y Servidor.

Si especifica Cliente, se realizan las siguientes acciones. estas opciones permiten al cliente delegar credenciales explícitas a un servidor cuando se realiza correctamente la autenticación en el servidor.

  • Habilita CredSSP en el cliente.
  • Establece la configuración \<localhost|computername\>\Client\Auth\CredSSP WS-Management en true.
  • Establece la directiva De Windows CredSSP AllowFreshCredentials en WSMan/Delegate en el cliente.

Si especifica Servidor, se realizan las siguientes acciones. Esta configuración de directiva permite al servidor actuar como delegado de los clientes.

  • Habilita CredSSP en el servidor.
  • Establece la configuración \<localhost|computername\>\Service\Auth\CredSSP WS-Management en true.
Tipo:String
Valores aceptados:Client, Server
Posición:0
Valor predeterminado:None
Requerido:True
Aceptar entrada de canalización:False
Aceptar caracteres comodín:False

Entradas

None

No se pueden canalizar objetos a este cmdlet.

Salidas

XmlElement

Si la autenticación CredSSP está habilitada correctamente, este cmdlet devuelve un objeto XMLElement .

Notas

Para deshabilitar la autenticación CredSSP, use el Disable-WSManCredSSP cmdlet .