Enable-WSManCredSSP
Abilita l'autenticazione credSSP (Credential Security Support Provider) in un computer.
Sintassi
Enable-WSManCredSSP
[[-DelegateComputer] <String[]>]
[-Force]
[-Role] <String>
[<CommonParameters>] Descrizione
Questo cmdlet è disponibile solo nella piattaforma Windows.
Il cmdlet Enable-WSManCredSSP abilita l'autenticazione CredSSP in un client o in un computer server.
Quando si usa l'autenticazione CredSSP, le credenziali utente vengono passate a un computer remoto da autenticare. Questo tipo di autenticazione è progettato per i comandi che creano una sessione remota da un'altra sessione remota. Ad esempio, se si vuole eseguire un processo in background in un computer remoto, usare questo tipo di autenticazione.
Enable-WSManCredSSP possibile abilitare CredSSP in un client o in un server . Per abilitare CredSSP in un client, specificare client di nel parametro ruolo. I client delegano le credenziali esplicite a un server quando viene ottenuta l'autenticazione server. Per abilitare CredSSP in un server, specificare Server nel parametro Role. Un server funge da delegato per i client. Per altri dettagli, vedere ruolo nella sezione Parametri.
Cautela
L'autenticazione CredSSP delega le credenziali utente dal computer locale a un computer remoto. Questa procedura aumenta il rischio di sicurezza dell'operazione remota. Se il computer remoto viene compromesso, quando vengono passate le credenziali, è possibile usare le credenziali per controllare la sessione di rete.
Esempio
Esempio 1: Delegare le credenziali client
Questo esempio consente di delegare le credenziali client a un computer usando il nome di dominio completo.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "Server02.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueEsempio 2: Delegare le credenziali client a tutti i computer in un dominio
Questo esempio consente di delegare le credenziali client a tutti i computer nel dominio fabrikam.com. Il carattere jolly asterisco (*) specifica tutti i computer.
Nota
L'uso di caratteri jolly con il parametro DelegateComputer può abilitare CredSSP in più computer del necessario.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "*.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueEsempio 3: Delegare le credenziali client a più computer
Questo esempio consente di delegare le credenziali client a più computer.
$servers = "server02.fabrikam.com", "server03.fabrikam.com", "server04.fabrikam.com"
Enable-WSManCredSSP -Role "Client" -DelegateComputer $servers
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueLa variabile $servers contiene un elenco di nomi di server.
Enable-WSManCredSSP usa il parametro role per specificare il ruolo client di. Il DelegateComputer ottiene i nomi dei computer dalla variabile $servers.
Esempio 4: Consentire a un computer di fungere da delegato
Questo esempio consente a un computer di fungere da delegato per un altro. Il cmdlet Enable-WSManCredSSP, illustrato negli esempi precedenti, abilita solo l'autenticazione CredSSP nel client e specifica i computer remoti che possono agire per suo conto. Affinché il computer remoto funga da delegato per il client, l'elemento CredSSP nel nodo del servizio di WSMan deve essere impostato su true. In questo esempio viene impostato l'elemento CredSSP nel nodo del servizio di WSMan su true.
Enable-WSManCredSSP -Role "Server"Esempio 5: Consentire a un computer di fungere da delegato usando Set-Item
Questo esempio consente a un computer di fungere da delegato per un altro computer. I comandi Enable-WSManCredSSP, illustrati negli esempi precedenti, abilitano l'autenticazione CredSSP solo nel computer client e specificano i computer remoti che possono agire per conto del computer client. Affinché il computer remoto funga da delegato per il computer client, l'elemento CredSSP nella directory Servizio del provider WSMan deve essere impostato su true.
Connect-WSMan -ComputerName "server02"
Set-Item -Path "WSMan:\server02\service\auth\credSSP" -Value $true
Connect-WSMan crea una connessione al computer remoto server02.
Set-Item usa il parametro Path per specificare il percorso del provider di WSMan. Il parametro Value imposta l'impostazione Service su true.
Parametri
-DelegateComputer
Specifica i server a cui vengono delegate le credenziali client. La procedura consigliata consiste nell'usare nomi di dominio completi.
I caratteri jolly vengono accettati, ma possono abilitare CredSSP in più computer del necessario.
Se il parametro ruolo è Client, è necessario specificare questo parametro. Se Role è Server, non specificare questo parametro.
| Tipo: | String[] |
| Posizione: | 1 |
| Valore predefinito: | None |
| Necessario: | False |
| Accettare l'input della pipeline: | False |
| Accettare caratteri jolly: | True |
-Force
Forza l'esecuzione del comando senza chiedere conferma dell'utente.
| Tipo: | SwitchParameter |
| Posizione: | Named |
| Valore predefinito: | False |
| Necessario: | False |
| Accettare l'input della pipeline: | False |
| Accettare caratteri jolly: | False |
-Role
Specifica se abilitare CredSSP come client o come server. I valori accettabili per questo parametro sono: Client e Server.
Se si specifica Client, vengono eseguite le azioni seguenti. Queste impostazioni consentono al client di delegare le credenziali esplicite a un server quando viene eseguita l'autenticazione del server.
- Abilita CredSSP nel client.
- Imposta l'impostazione WS-Management
\<localhost|computername\>\Client\Auth\CredSSPsu true. - Imposta i criteri di Windows CredSSP AllowFreshCredentials su WSMan/Delegate nel client.
Se si specifica Server, vengono eseguite le azioni seguenti. Questa impostazione di criterio consente al server di fungere da delegato per i client.
- Abilita CredSSP nel server.
- Imposta l'impostazione WS-Management
\<localhost|computername\>\Service\Auth\CredSSPsu true.
| Tipo: | String |
| Valori accettati: | Client, Server |
| Posizione: | 0 |
| Valore predefinito: | None |
| Necessario: | True |
| Accettare l'input della pipeline: | False |
| Accettare caratteri jolly: | False |
Input
None
Non è possibile inviare tramite pipe oggetti a questo cmdlet.
Output
Se l'autenticazione CredSSP è abilitata correttamente, questo cmdlet restituisce un oggetto XMLElement.
Note
Per disabilitare l'autenticazione CredSSP, usare il cmdlet Disable-WSManCredSSP.
