Enable-WSManCredSSP
コンピューターで資格情報セキュリティ サポート プロバイダー (CredSSP) 認証を有効にします。
構文
Enable-WSManCredSSP
[[-DelegateComputer] <String[]>]
[-Force]
[-Role] <String>
[<CommonParameters>]
説明
このコマンドレットは、Windows プラットフォームでのみ使用できます。
Enable-WSManCredSSP
コマンドレットは、クライアントまたはサーバー コンピューターで CredSSP 認証を有効にします。
CredSSP 認証を使用すると、認証されるリモート コンピューターにユーザー資格情報が渡されます。 この種類の認証は、別のリモート セッションからリモート セッションを作成するコマンド用に設計されています。 たとえば、リモート コンピューターでバックグラウンド ジョブを実行する場合は、この種の認証を使用します。
Enable-WSManCredSSP
では、 Client または Server で CredSSP を有効にすることができます。 クライアントで CredSSP を有効にするには、Role パラメーターに Client を指定します。 クライアントは、サーバー認証が実現されたときに、明示的な資格情報をサーバーに委任します。 サーバーで CredSSP を有効にするには、Role パラメーターに Server を指定します。 サーバーは、クライアントのデリゲートとして機能します。 詳細については、「パラメーター」セクションの「 Role 」を参照してください。
注意事項
CredSSP 認証は、ローカル コンピューターからリモート コンピューターにユーザー資格情報を委任します。 そのため、リモート操作のセキュリティ リスクが高まります。 リモート コンピューターのセキュリティが低下している場合は、そのリモート コンピューターに渡された資格情報を使用してネットワーク セッションが制御される場合があります。
例
例 1: クライアント資格情報を委任する
この例では、完全修飾ドメイン名を使用して、クライアント資格情報をコンピューターに委任できます。
Enable-WSManCredSSP -Role "Client" -DelegateComputer "Server02.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : true
例 2: ドメイン内のすべてのコンピューターにクライアント資格情報を委任する
この例では、 fabrikam.com ドメイン内のすべてのコンピューターにクライアント資格情報を委任できます。 アスタリスク (*
) ワイルドカードは、すべてのコンピューターを指定します。
Note
DelegateComputer パラメーターでワイルドカードを使用すると、必要以上に多くのコンピューターで CredSSP を有効にすることができます。
Enable-WSManCredSSP -Role "Client" -DelegateComputer "*.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : true
例 3: クライアント資格情報を複数のコンピューターに委任する
この例では、クライアント資格情報を複数のコンピューターに委任できます。
$servers = "server02.fabrikam.com", "server03.fabrikam.com", "server04.fabrikam.com"
Enable-WSManCredSSP -Role "Client" -DelegateComputer $servers
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : true
$servers
変数には、サーバー名の一覧が含まれています。 Enable-WSManCredSSP
では、 Role パラメーターを使用して、 Client ロールを指定します。 DelegateComputerは$servers
変数からコンピューター名を取得します。
例 4: コンピューターが代理人として機能することを許可する
この例では、コンピューターが別のコンピューターの代理人として機能することを許可します。 前の例に示した Enable-WSManCredSSP
コマンドレットは、クライアントで CredSSP 認証のみを有効にし、その代わりに動作できるリモート コンピューターを指定します。 リモート コンピューターがクライアントのデリゲートとして機能するためには、WSMan の Service ノードの CredSSP 項目を true に設定する必要があります。 次の使用例は、WSMan の Service ノードの CredSSP 項目を true に設定します。
Enable-WSManCredSSP -Role "Server"
例 5: Set-Item を使用してコンピューターがデリゲートとして機能することを許可する
この例では、コンピューターが別のコンピューターの代理人として機能することを許可します。 前の例に示した Enable-WSManCredSSP
コマンドは、クライアント コンピューターでのみ CredSSP 認証を有効にし、クライアント コンピューターに代わって動作できるリモート コンピューターを指定します。 リモート コンピューターがクライアント コンピューターの代理として動作するためには、WSMan プロバイダーの Service ディレクトリの CredSSP 項目を true に設定する必要があります。
Connect-WSMan -ComputerName "server02"
Set-Item -Path "WSMan:\server02\service\auth\credSSP" -Value $True
Connect-WSMan
は、リモート コンピューター server02 への接続を作成します。 Set-Item
では、 Path パラメーターを使用して、 WSMan プロバイダーの場所を指定します。 Value パラメーターは、Service 設定を true に設定します。
パラメーター
-DelegateComputer
クライアント資格情報を委任するサーバーを指定します。 ベスト プラクティスは、完全修飾ドメイン名を使用する方法です。
ワイルドカードは受け入れられますが、必要以上に多くのコンピューターで CredSSP を有効にすることができます。
Role パラメーターが Client の場合は、このパラメーターを指定する必要があります。 Role が Server の場合は、このパラメーターを指定しないでください。
型: | String[] |
配置: | 1 |
規定値: | None |
必須: | False |
パイプライン入力を受け取る: | False |
ワイルドカード文字を受け取る: | True |
-Force
ユーザーに確認せずに、直ちにコマンドを実行します。
型: | SwitchParameter |
配置: | Named |
規定値: | False |
必須: | False |
パイプライン入力を受け取る: | False |
ワイルドカード文字を受け取る: | False |
-Role
CredSSP をクライアントとして有効にするか、サーバーとして有効にするかを指定します。 このパラメーターに使用できる値は、 Client および Server です。
Client を指定すると、次のアクションが実行されます。 これらの設定では、サーバー認証が実行されるときに、クライアントがサーバーに明示的な資格情報を委任することが許可されます。
- クライアントで CredSSP を有効にします。
- WS-Management 設定の
\<localhost|computername\>\Client\Auth\CredSSP
を true に設定します。 - Windows CredSSP ポリシー AllowFreshCredentials をクライアントの WSMan/Delegate に設定します。
Serverを指定すると、次のアクションが実行されます。 このポリシー設定では、サーバーがクライアントの代理として動作することが許可されます。
- サーバーで CredSSP を有効にします。
- WS-Management 設定の
\<localhost|computername\>\Service\Auth\CredSSP
を true に設定します。
型: | String |
指定可能な値: | Client, Server |
配置: | 0 |
規定値: | None |
必須: | True |
パイプライン入力を受け取る: | False |
ワイルドカード文字を受け取る: | False |
入力
None
このコマンドレットにオブジェクトをパイプすることはできません。
出力
CredSSP 認証が正常に有効になっている場合、このコマンドレットは XMLElement オブジェクトを返します。
メモ
CredSSP 認証を無効にするには、 Disable-WSManCredSSP
コマンドレットを使用します。
関連リンク
PowerShell