次の方法で共有

Enable-WSManCredSSP

  • リファレンス
モジュール:
Microsoft.WSMan.Management

コンピューターで資格情報セキュリティ サポート プロバイダー (CredSSP) 認証を有効にします。

構文

Enable-WSManCredSSP
      [[-DelegateComputer] <String[]>]
      [-Force]
      [-Role] <String>
      [<CommonParameters>]

説明

このコマンドレットは、Windows プラットフォームでのみ使用できます。

Enable-WSManCredSSP コマンドレットは、クライアントまたはサーバー コンピューターで CredSSP 認証を有効にします。 CredSSP 認証を使用すると、認証されるリモート コンピューターにユーザー資格情報が渡されます。 この種類の認証は、別のリモート セッションからリモート セッションを作成するコマンド用に設計されています。 たとえば、リモート コンピューターでバックグラウンド ジョブを実行する場合は、この種の認証を使用します。

Enable-WSManCredSSP は、クライアント または Serverで CredSSP を有効にすることができます。 クライアントで CredSSP を有効にするには、Role パラメーター クライアント を指定します。 クライアントは、サーバー認証が実現されたときに、明示的な資格情報をサーバーに委任します。 サーバーで CredSSP を有効にするには、Role パラメーターで Server を指定します。 サーバーは、クライアントのデリゲートとして機能します。 詳細については、「パラメーター」セクションの「ロールの」を参照してください。

注意

CredSSP 認証は、ローカル コンピューターからリモート コンピューターにユーザー資格情報を委任します。 この方法により、リモート操作のセキュリティ リスクが高まります。 リモート コンピューターが侵害された場合、資格情報が渡されるときに、資格情報を使用してネットワーク セッションを制御できます。

例 1: クライアント資格情報を委任する

この例では、完全修飾ドメイン名を使用して、クライアント資格情報をコンピューターに委任できます。

Enable-WSManCredSSP -Role "Client" -DelegateComputer "Server02.fabrikam.com"

cfg         : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

例 2: ドメイン内のすべてのコンピューターにクライアント資格情報を委任する

この例では、fabrikam.com ドメイン内のすべてのコンピューターにクライアント資格情報を委任できます。 アスタリスク (*) ワイルドカードは、すべてのコンピューターを指定します。

手記

DelegateComputer パラメーターでワイルドカードを使用すると、必要以上に多くのコンピューターで CredSSP を有効にすることができます。

Enable-WSManCredSSP -Role "Client" -DelegateComputer "*.fabrikam.com"

cfg         : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

例 3: クライアント資格情報を複数のコンピューターに委任する

この例では、クライアント資格情報を複数のコンピューターに委任できます。

$servers = "server02.fabrikam.com", "server03.fabrikam.com", "server04.fabrikam.com"
Enable-WSManCredSSP -Role "Client" -DelegateComputer $servers

cfg         : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

$servers 変数には、サーバー名の一覧が含まれています。 Enable-WSManCredSSP は、Role パラメーターを使用して、クライアント ロールを指定します。 DelegateComputer は、$servers 変数からコンピューター名を取得します。

例 4: コンピューターが代理人として機能することを許可する

この例では、コンピューターが別のコンピューターの代理人として機能することを許可します。 前の例に示した Enable-WSManCredSSP コマンドレットは、クライアントで CredSSP 認証のみを有効にし、その代わりに動作できるリモート コンピューターを指定します。 リモート コンピューターがクライアントのデリゲートとして機能するためには、WSMan の サービス ノードの CredSSP 項目を true に設定する必要があります。 次の使用例は、WSMan の Service ノードの CredSSP 項目を true に設定します。

Enable-WSManCredSSP -Role "Server"

例 5: コンピューターが Set-Item を使用して代理人として機能することを許可する

この例では、コンピューターが別のコンピューターの代理人として機能することを許可します。 前の例に示した Enable-WSManCredSSP コマンドは、クライアント コンピューターでのみ CredSSP 認証を有効にし、クライアント コンピューターの代わりに動作できるリモート コンピューターを指定します。 リモート コンピューターがクライアント コンピューターのデリゲートとして機能するには、WSMan プロバイダーのサービス ディレクトリ内の CredSSP 項目を true に設定する必要があります。

Connect-WSMan -ComputerName "server02"
Set-Item -Path "WSMan:\server02\service\auth\credSSP" -Value $True

Connect-WSMan は、リモート コンピューター server02 への接続を作成します。 Set-Item では、Path パラメーターを使用して、WSMan プロバイダーの場所 指定します。 Value パラメーターは、サービスの 設定を true に設定します。

パラメーター

-DelegateComputer

クライアント資格情報を委任するサーバーを指定します。 ベスト プラクティスは、完全修飾ドメイン名を使用する方法です。

ワイルドカードは受け入れられますが、必要以上に多くのコンピューターで CredSSP を有効にすることができます。

Role パラメーターがクライアント 場合は、このパラメーターを指定する必要があります。 役割 がサーバー 場合は、このパラメーターを指定しないでください。

型:String[]
配置:1
規定値:None
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:True

-Force

ユーザーの確認を求めずにコマンドを強制的に実行します。

型:SwitchParameter
配置:Named
規定値:False
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-Role

CredSSP をクライアントとして有効にするか、サーバーとして有効にするかを指定します。 このパラメーターに使用できる値は、クライアントServerです。

クライアント 指定すると、次のアクションが実行されます。 これらの設定を使用すると、サーバー認証が完了したときに、クライアントは明示的な資格情報をサーバーに委任できます。

  • クライアントで CredSSP を有効にします。
  • WS-Management 設定の \<localhost|computername\>\Client\Auth\CredSSP を true に設定します。
  • AllowFreshCredentials Windows CredSSP ポリシーを、クライアントで WSMan/Delegate するように設定します。

サーバー 指定すると、次のアクションが実行されます。 このポリシー設定により、サーバーはクライアントの代理人として機能できます。

  • サーバーで CredSSP を有効にします。
  • WS-Management 設定の \<localhost|computername\>\Service\Auth\CredSSP を true に設定します。
型:String
指定可能な値:Client, Server
配置:0
規定値:None
必須:True
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

入力

None

このコマンドレットにオブジェクトをパイプすることはできません。

出力

XmlElement

CredSSP 認証が正常に有効になっている場合、このコマンドレットは XMLElement オブジェクトを返します。

メモ

CredSSP 認証を無効にするには、Disable-WSManCredSSP コマンドレットを使用します。