다음을 통해 공유


Enable-WSManCredSSP

컴퓨터에서 CredSSP(자격 증명 보안 지원 공급자) 인증을 사용하도록 설정합니다.

구문

Enable-WSManCredSSP
      [[-DelegateComputer] <String[]>]
      [-Force]
      [-Role] <String>
      [<CommonParameters>]

Description

cmdlet은 Enable-WSManCredSSP 클라이언트 또는 서버 컴퓨터에서 CredSSP 인증을 사용하도록 설정합니다. CredSSP 인증을 사용하면 인증할 원격 컴퓨터에 사용자 자격 증명이 전달됩니다. 이 유형의 인증은 다른 원격 세션에서 원격 세션을 만드는 명령을 위해 설계되었습니다. 예를 들어 원격 컴퓨터에서 백그라운드 작업을 실행하려면 이러한 종류의 인증을 사용합니다.

Enable-WSManCredSSP는 클라이언트 또는 서버에서 CredSSP를 사용하도록 설정할 수 있습니다. 클라이언트에서 CredSSP를 사용하도록 설정하려면 Role 매개 변수에서 클라이언트지정합니다. 클라이언트는 서버 인증이 수행될 때 서버에 명시적 자격 증명을 위임합니다. 서버에서 CredSSP를 사용하도록 설정하려면 Role 매개 변수에서 서버를 지정합니다. 서버는 클라이언트의 대리자 역할을 합니다. 자세한 내용은 매개 변수 섹션의 역할을 참조하세요.

주의

CredSSP 인증은 로컬 컴퓨터에서 원격 컴퓨터로 사용자 자격 증명을 위임합니다. 이렇게 하면 원격 작업의 보안 위험이 증가합니다. 원격 컴퓨터가 손상된 경우 자격 증명이 원격 컴퓨터에 전달되면 자격 증명이 네트워크 세션을 제어하는 데 사용될 수 있습니다.

예제

예제 1: 클라이언트 자격 증명 위임

이 예제에서는 정규화된 도메인 이름을 사용하여 클라이언트 자격 증명을 컴퓨터에 위임할 수 있습니다.

Enable-WSManCredSSP -Role "Client" -DelegateComputer "Server02.fabrikam.com"

cfg         : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

예제 2: 도메인의 모든 컴퓨터에 클라이언트 자격 증명 위임

이 예제에서는 클라이언트 자격 증명을 fabrikam.com 도메인의 모든 컴퓨터에 위임할 수 있습니다. 별표(*) 와일드카드는 모든 컴퓨터를 지정합니다.

참고 항목

DelegateComputer 매개 변수와 함께 와일드카드를 사용하면 필요한 것보다 많은 컴퓨터에서 CredSSP를 사용하도록 설정할 수 있습니다.

Enable-WSManCredSSP -Role "Client" -DelegateComputer "*.fabrikam.com"

cfg         : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

예제 3: 클라이언트 자격 증명을 여러 컴퓨터에 위임

이 예제에서는 클라이언트 자격 증명을 여러 컴퓨터에 위임할 수 있습니다.

$servers = "server02.fabrikam.com", "server03.fabrikam.com", "server04.fabrikam.com"
Enable-WSManCredSSP -Role "Client" -DelegateComputer $servers

cfg         : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

변수에는 $servers 서버 이름 목록이 포함됩니다. Enable-WSManCredSSPRole 매개 변수를 사용하여 클라이언트 역할을 지정합니다. DelegateComputer변수에서 $servers 컴퓨터 이름을 가져옵니다.

예제 4: 컴퓨터가 대리자 역할을 하도록 허용

이 예제에서는 컴퓨터가 다른 컴퓨터의 대리자 역할을 할 수 있습니다. 이전 예제에 표시된 cmdlet은 Enable-WSManCredSSP 클라이언트에서 CredSSP 인증만 사용하도록 설정하고 대신 사용할 수 있는 원격 컴퓨터를 지정합니다. 원격 컴퓨터가 클라이언트의 대리자 역할을 하려면 WSMan의 서비스 노드에 있는 CredSSP 항목을 true로 설정해야 합니다. 다음은 WSMan의 서비스 노드에 있는 CredSSP 항목을 true로 설정하는 예제입니다.

Enable-WSManCredSSP -Role "Server"

예제 5: Set-Item을 사용하여 컴퓨터가 대리자 역할을 하도록 허용

이 예제에서는 컴퓨터가 다른 컴퓨터의 대리자 역할을 할 수 있습니다. Enable-WSManCredSSP 이전 예제에 표시된 명령은 클라이언트 컴퓨터에서만 CredSSP 인증을 사용하도록 설정하고 클라이언트 컴퓨터를 대신하여 작동할 수 있는 원격 컴퓨터를 지정합니다. 원격 컴퓨터가 클라이언트 컴퓨터의 대리자 역할을 하려면 WSMan 공급자의 서비스 디렉터리에 있는 CredSSP 항목을 true로 설정해야 합니다.

Connect-WSMan -ComputerName "server02"
Set-Item -Path "WSMan:\server02\service\auth\credSSP" -Value $True

Connect-WSMan 는 원격 컴퓨터 server02에 대한 연결을 만듭니다. Set-ItemPath 매개 변수를 사용하여 WSMan 공급자의 위치를 지정합니다. Value 매개 변수는 서비스 설정을 true로 설정합니다.

매개 변수

-DelegateComputer

클라이언트 자격 증명이 위임되는 서버를 지정합니다. 정규화된 도메인 이름을 사용하는 것이 가장 좋습니다.

와일드카드는 허용되지만 필요한 것보다 많은 컴퓨터에서 CredSSP를 사용하도록 설정할 수 있습니다.

Role 매개 변수가 클라이언트경우 이 매개 변수를 지정해야 합니다. Role이 서버경우 이 매개 변수를 지정하지 마세요.

형식:String[]
Position:1
Default value:None
필수:False
파이프라인 입력 허용:False
와일드카드 문자 허용:True

-Force

사용자 확인을 요청하지 않고 명령을 강제 실행합니다.

형식:SwitchParameter
Position:Named
Default value:False
필수:False
파이프라인 입력 허용:False
와일드카드 문자 허용:False

-Role

CredSSP를 클라이언트 또는 서버로 사용할지 여부를 지정합니다. 이 매개 변수에 허용되는 값은 클라이언트서버입니다.

클라이언트를 지정하면 다음 작업이 수행됩니다. 이러한 설정을 사용하면 서버 인증이 수행될 때 클라이언트가 서버에 명시적 자격 증명을 위임할 수 있습니다.

  • 클라이언트에서 CredSSP를 사용하도록 설정합니다.
  • WS-Management 설정을 \<localhost|computername\>\Client\Auth\CredSSP true로 설정합니다.
  • Windows CredSSP 정책 AllowFreshCredentials클라이언트의 WSMan/대리자 로 설정합니다.

서버를 지정하면 다음 작업이 수행됩니다. 이 정책 설정을 사용하면 서버가 클라이언트의 대리자 역할을 할 수 있습니다.

  • 서버에서 CredSSP를 사용하도록 설정합니다.
  • WS-Management 설정을 \<localhost|computername\>\Service\Auth\CredSSP true로 설정합니다.
형식:String
허용되는 값:Client, Server
Position:0
Default value:None
필수:True
파이프라인 입력 허용:False
와일드카드 문자 허용:False

입력

None

개체를 이 cmdlet으로 파이프할 수 없습니다.

출력

XmlElement

CredSSP 인증을 성공적으로 사용하도록 설정하면 이 cmdlet은 XMLElement 개체를 반환합니다.

참고

CredSSP 인증을 사용하지 않도록 설정하려면 cmdlet을 Disable-WSManCredSSP 사용합니다.