Partager via

Authentification pour les connexions à distance

  • Article

La gestion à distance windows gère la sécurité de la communication entre les ordinateurs en prenant en charge plusieurs méthodes standard d’authentification et de chiffrement des messages.

Accès au groupe par défaut

Lors de l’installation, WinRM crée le groupe local WinRMRemoteWMIUsers__. WinRM limite ensuite l’accès à distance à tout utilisateur qui n’est pas membre du groupe d’administration local ou du groupe WinRMRemoteWMIUsers__. Vous pouvez ajouter un utilisateur local, un utilisateur de domaine ou un groupe de domaines à WinRMRemoteWMIUsers__ en tapant groupe local net WinRMRemoteWMIUsers__ /add <domaine>\<nom d’utilisateur> à l’invite de commandes. Si vous le souhaitez, vous pouvez utiliser la stratégie de groupe pour ajouter un utilisateur au groupe.

Paramètres d’authentification par défaut

Les informations d’identification par défaut, le nom d’utilisateur et le mot de passe sont les informations d’identification du compte d’utilisateur connecté qui exécute le script.

Pour passer à un autre compte sur un ordinateur distant

  1. Spécifiez les informations d’identification dans un objet ConnectionOptions ou IWSManConnectionOptions et fournissez-le à l’appelCreateSession.
  2. Définissez le WSManFlagCredUserNamePassword dans les indicateurs de paramètre dans l’appel CreateSession.

La liste suivante contient une liste de ce qui se produit lorsqu’un script ou une application s’exécute sous les informations d’identification par défaut :

  • Kerberos est la méthode d’authentification par défaut lorsque le client se trouve dans un domaine et que la chaîne de destination distante n’est pas l’une des suivantes : localhost, 127.0.0.1 ou [ ::1].
  • Negotiate est la méthode par défaut lorsque le client n’est pas dans un domaine, mais que la chaîne de destination distante est l’une des suivantes : localhost, 127.0.0.1 ou [ ::1].

Si vous fournissez des informations d’identification explicites avec un objet ConnectionOptions, Negotiate est la méthode par défaut. Négocier l’authentification détermine si la méthode d’authentification continue est Kerberos ou NTLM, selon que les ordinateurs se trouvent dans un domaine ou un groupe de travail. Si vous vous connectez à un ordinateur cible distant à l’aide d’un compte local, le compte doit être précédé du nom de l’ordinateur. Par exemple, myComputer\myUsername.

Si vous spécifiez l’authentification Negotiate, Digest ou De base et que vous ne parvenez pas à fournir un objet ConnectionOptions, vous recevrez une erreur indiquant que les informations d’identification explicites sont requises. Si HTTPS n’est pas le transport, l’ordinateur distant cible doit être configuré dans la liste des ordinateurs hôtes approuvés.

Pour plus d’informations sur les types d’authentification activés dans les paramètres de configuration par défaut, consultez Installation et Configuration pour la gestion à distance windows.

Authentification de base

Pour établir explicitement authentification de base dans l’appel à WSMan.CreateSession, définissez les indicateurs WSManFlagUseBasic et WSManFlagCredUserNamePassword dans les indicateurs paramètre. L’authentification de base est désactivée dans les paramètres de configuration par défaut pour le client WinRM et le serveur WinRM.

Authentification Digest

Pour établir explicitement l’authentification Digest dans l’appel à WSMan.CreateSession, définissez l’indicateur WSManFlagUseDigest dans les indicateurs paramètre. Digest n’est pas pris en charge. Il ne peut pas être configuré pour le composant serveur WinRM.

Négocier l’authentification

Pour établir explicitement négocier authentification, également appelée authentification intégrée Windows, dans l’appel à WSMan.CreateSession, définissez l’indicateur WSManFlagUseNegotiate dans le paramètre indicateurs.

contrôle de compte d’utilisateur (UAC) affecte l’accès au service WinRM. Lorsque l’authentification Negotiate est utilisée dans un groupe de travail, seul le compte Administrateur intégré peut accéder au service. Pour autoriser tous les comptes du groupe Administrateurs à accéder au service, définissez la valeur de Registre suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolicy = 1

Authentification Kerberos

Pour établir explicitement l’authentification Kerberos dans l’appel à WSMan.CreateSession, définissez l’indicateur WSManFlagUseKerberos dans le paramètre indicateurs. Le client et les ordinateurs serveur doivent être joints à un domaine. Si vous utilisez Kerberos comme méthode d’authentification, vous ne pouvez pas utiliser une adresse IP dans l’appel à WSMan.CreateSession ou IWSMan ::CreateSession.

Authentification basée sur un certificat client

Pour établir l’authentification basée sur un certificat client dans l’appel à WSMan.CreateSession, définissez l’indicateur WSManFlagUseClientCertificate dans le paramètre des indicateurs de.

Vous devez d’abord activer l’authentification par certificat sur le client et le service à l’aide de l’outil en ligne de commande Winrm. Pour plus d’informations, consultez Activation des options d’authentification. Vous devez également créer une entrée dans la table CertMapping sur l’ordinateur serveur WinRM. Cela établit un mappage entre un ou plusieurs certificats et un compte local. Une fois le certificat utilisé pour l’authentification et l’autorisation, le compte local correspondant est utilisé pour les opérations effectuées par le service WinRM.

Le mappage peut être créé pour un URI de ressource spécifique. Pour en savoir plus, notamment comment créer une entrée de table CertMapping, tapez certmapping winrm help à l’invite de commandes.

Note

Le certificat de taille maximale utilisable par WinRM dans ce contexte est de 16 Ko.

 

Activation ou désactivation des options d’authentification

L’option d’authentification par défaut à l’installation du système est Kerberos. Pour plus d’informations, consultez Installation et configuration de Windows Remote Management.

Si votre script ou votre application nécessite une méthode d’authentification spécifique qui n’est pas activée, vous devez modifier la configuration pour activer ce type d’authentification. Cette modification peut être effectuée à l’aide de l’outil en ligne de commande Winrm ou via la stratégie de groupe pour l’objet de stratégie de groupe d’administration à distance Windows. Vous pouvez également choisir de désactiver certaines méthodes d’authentification.

Pour activer ou désactiver l’authentification avec l’outil Winrm

  1. Pour définir la configuration du client WinRM, utilisez la commande Winrm Set et spécifiez le client. Par exemple, la commande suivante désactive l’authentification digest pour le client.

    winrm set winrm/config/client/auth @{Digest="false"}

  2. Pour définir la configuration du serveur WinRM, utilisez la commande Winrm Set et spécifiez le service. Par exemple, la commande suivante active l’authentification Kerberos pour le service.

    winrm set winrm/config/service/auth @{Kerberos="true"}

à propos des de gestion à distance Windows

WSMan.CreateSession

à l’aide du de gestion à distance Windows