Enable-WSManCredSSP
Active l’authentification credSSP (Credential Security Support Provider) sur un ordinateur.
Syntaxe
Enable-WSManCredSSP
[[-DelegateComputer] <String[]>]
[-Force]
[-Role] <String>
[<CommonParameters>] Description
Cette applet de commande est disponible uniquement sur la plateforme Windows.
L’applet de commande Enable-WSManCredSSP active l’authentification CredSSP sur un client ou sur un ordinateur serveur.
Lorsque l’authentification CredSSP est utilisée, les informations d’identification de l’utilisateur sont transmises à un ordinateur distant à authentifier. Ce type d’authentification est conçu pour les commandes qui créent une session distante à partir d’une autre session distante. Par exemple, si vous souhaitez exécuter un travail en arrière-plan sur un ordinateur distant, utilisez ce type d’authentification.
Enable-WSManCredSSP pouvez activer CredSSP sur un client ou un Server. Pour activer CredSSP sur un client, spécifiez client dans le paramètre Role. Les clients délèguent des informations d’identification explicites à un serveur lorsque l’authentification du serveur est obtenue. Pour activer CredSSP sur un serveur, spécifiez serveur dans le paramètre Role. Un serveur agit en tant que délégué pour les clients. Pour plus d’informations, consultez de rôle dans la section Paramètres.
Prudence
L’authentification CredSSP délègue les informations d’identification de l’utilisateur de l’ordinateur local à un ordinateur distant. Cette pratique augmente le risque de sécurité de l’opération à distance. Si l’ordinateur distant est compromis, lorsque les informations d’identification sont transmises, les informations d’identification peuvent être utilisées pour contrôler la session réseau.
Exemples
Exemple 1 : Déléguer les informations d’identification du client
Cet exemple permet aux informations d’identification du client d’être déléguées à un ordinateur à l’aide du nom de domaine complet.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "Server02.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueExemple 2 : Déléguer les informations d’identification du client à tous les ordinateurs d’un domaine
Cet exemple permet de déléguer les informations d’identification du client à tous les ordinateurs du domaine fabrikam.com. Le caractère générique astérisque (*) spécifie tous les ordinateurs.
Note
L’utilisation de caractères génériques avec le paramètre DelegateComputer peut activer CredSSP sur plus d’ordinateurs que nécessaire.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "*.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueExemple 3 : Déléguer les informations d’identification du client à plusieurs ordinateurs
Cet exemple permet au client d’être délégué à plusieurs ordinateurs.
$servers = "server02.fabrikam.com", "server03.fabrikam.com", "server04.fabrikam.com"
Enable-WSManCredSSP -Role "Client" -DelegateComputer $servers
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueLa variable $servers contient une liste de noms de serveurs.
Enable-WSManCredSSP utilise le paramètre de rôle pour spécifier le rôle client. Le DelegateComputer obtient les noms d’ordinateurs de la variable $servers.
Exemple 4 : Autoriser un ordinateur à agir en tant que délégué
Cet exemple permet à un ordinateur d’agir en tant que délégué pour un autre. L’applet de commande Enable-WSManCredSSP, illustrée dans les exemples précédents, active uniquement l’authentification CredSSP sur le client et spécifie les ordinateurs distants qui peuvent agir en son nom. Pour que l’ordinateur distant agisse en tant que délégué pour le client, l’élément CredSSP dans le nœud Service de WSMan doit être défini sur true. Cet exemple montre comment définir l’élément CredSSP dans le nœud service de WSMan sur true.
Enable-WSManCredSSP -Role "Server"Exemple 5 : Autoriser un ordinateur à agir en tant que délégué à l’aide de Set-Item
Cet exemple permet à un ordinateur d’agir en tant que délégué pour un autre ordinateur. Les commandes Enable-WSManCredSSP, présentées dans les exemples précédents, activent l’authentification CredSSP uniquement sur l’ordinateur client et spécifient les ordinateurs distants qui peuvent agir pour le compte de l’ordinateur client. Pour que l’ordinateur distant agisse en tant que délégué pour l’ordinateur client, l’élément CredSSP dans le répertoire de service du fournisseur WSMan doit avoir la valeur true.
Connect-WSMan -ComputerName "server02"
Set-Item -Path "WSMan:\server02\service\auth\credSSP" -Value $True
Connect-WSMan crée une connexion à l’ordinateur distant, server02.
Set-Item utilise le paramètre Path pour spécifier l’emplacement du fournisseur WSMan. Le paramètre Valeur définit le paramètre Service sur true.
Paramètres
-DelegateComputer
Spécifie les serveurs auxquels les informations d’identification du client sont déléguées. La meilleure pratique consiste à utiliser des noms de domaine complets.
Les caractères génériques sont acceptés, mais peuvent activer CredSSP sur plus d’ordinateurs que nécessaire.
Si le paramètre rôle est client, vous devez spécifier ce paramètre. Si rôle est serveur, ne spécifiez pas ce paramètre.
| Type: | String[] |
| Position: | 1 |
| Valeur par défaut: | None |
| Obligatoire: | False |
| Accepter l'entrée de pipeline: | False |
| Accepter les caractères génériques: | True |
-Force
Force l’exécution de la commande sans demander la confirmation de l’utilisateur.
| Type: | SwitchParameter |
| Position: | Named |
| Valeur par défaut: | False |
| Obligatoire: | False |
| Accepter l'entrée de pipeline: | False |
| Accepter les caractères génériques: | False |
-Role
Spécifie s’il faut activer CredSSP en tant que client ou en tant que serveur. Les valeurs acceptables pour ce paramètre sont les suivantes : client et Server.
Si vous spécifiez client, les actions suivantes sont effectuées. Ces paramètres permettent au client de déléguer des informations d’identification explicites à un serveur lorsque l’authentification du serveur est obtenue.
- Active CredSSP sur le client.
- Définit le paramètre WS-Management
\<localhost|computername\>\Client\Auth\CredSSPsur true. - Définit la stratégie Windows CredSSP AllowFreshCredentials sur WSMan/Delegate sur le client.
Si vous spécifiez serveur, les actions suivantes sont effectuées. Ce paramètre de stratégie permet au serveur d’agir en tant que délégué pour les clients.
- Active CredSSP sur le serveur.
- Définit le paramètre WS-Management
\<localhost|computername\>\Service\Auth\CredSSPsur true.
| Type: | String |
| Valeurs acceptées: | Client, Server |
| Position: | 0 |
| Valeur par défaut: | None |
| Obligatoire: | True |
| Accepter l'entrée de pipeline: | False |
| Accepter les caractères génériques: | False |
Entrées
None
Vous ne pouvez pas diriger les objets vers cette applet de commande.
Sorties
Si l’authentification CredSSP est correctement activée, cette applet de commande retourne un objet XMLElement.
Notes
Pour désactiver l’authentification CredSSP, utilisez l’applet de commande Disable-WSManCredSSP.
