Enable-WSManCredSSP
Hiermee schakelt u Verificatie van referentiebeveiligingsondersteuningsprovider (CredSSP) op een computer in.
Syntaxis
Enable-WSManCredSSP
[[-DelegateComputer] <String[]>]
[-Force]
[-Role] <String>
[<CommonParameters>] Description
Met de cmdlet Enable-WSManCredSSP wordt CredSSP-verificatie ingeschakeld op een client of op een servercomputer.
Wanneer CredSSP-verificatie wordt gebruikt, worden de gebruikersreferenties doorgegeven aan een externe computer die moet worden geverifieerd. Dit type verificatie is ontworpen voor opdrachten die een externe sessie maken vanuit een andere externe sessie. Als u bijvoorbeeld een achtergrondtaak wilt uitvoeren op een externe computer, gebruikt u dit type verificatie.
Enable-WSManCredSSP kan CredSSP inschakelen op een Client- of een Server-. Als u CredSSP wilt inschakelen op een client, geeft u Client- op in de parameter Role. Clients delegeren expliciete referenties naar een server wanneer serververificatie wordt bereikt. Als u CredSSP op een server wilt inschakelen, geeft u Server op in de parameter Role. Een server fungeert als gemachtigde voor clients. Zie Rol in de sectie Parameters voor meer informatie.
Voorzichtigheid
CredSSP-verificatie delegeert de gebruikersreferenties van de lokale computer naar een externe computer. Deze praktijk verhoogt het beveiligingsrisico van de externe bewerking. Als de externe computer wordt aangetast, kunnen de referenties worden gebruikt om de netwerksessie te beheren wanneer er referenties aan worden doorgegeven.
Voorbeelden
Voorbeeld 1: Clientreferenties delegeren
In dit voorbeeld kunnen de clientreferenties worden gedelegeerd aan een computer met behulp van de volledig gekwalificeerde domeinnaam.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "Server02.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueVoorbeeld 2: Clientreferenties delegeren aan alle computers in een domein
In dit voorbeeld kunnen de clientreferenties worden gedelegeerd aan alle computers in het fabrikam.com-domein. Het sterretje (*) geeft alle computers op.
Notitie
Het gebruik van jokertekens met de parameter DelegateComputer kan CredSSP inschakelen op meer computers dan nodig is.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "*.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueVoorbeeld 3: Clientreferenties delegeren naar meerdere computers
In dit voorbeeld kunnen de clientreferenties worden gedelegeerd aan meerdere computers.
$servers = "server02.fabrikam.com", "server03.fabrikam.com", "server04.fabrikam.com"
Enable-WSManCredSSP -Role "Client" -DelegateComputer $servers
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueDe variabele $servers bevat een lijst met servernamen.
Enable-WSManCredSSP gebruikt de parameter Role om de rol Client op te geven. De DelegateComputer haalt de computernamen op uit de variabele $servers.
Voorbeeld 4: Toestaan dat een computer als gemachtigde fungeert
In dit voorbeeld kan een computer fungeren als gemachtigde voor een andere. De Enable-WSManCredSSP cmdlet, weergegeven in de eerdere voorbeelden, schakelt alleen CredSSP-verificatie op de client in en geeft de externe computers op die namens hen kunnen handelen. Als u wilt dat de externe computer als gemachtigde voor de client fungeert, moet het CredSSP-item in het Service- knooppunt van WSMan worden ingesteld op waar. In dit voorbeeld wordt het CredSSP-item in het knooppunt Service van WSMan ingesteld op true.
Enable-WSManCredSSP -Role "Server"Voorbeeld 5: Toestaan dat een computer als gemachtigde fungeert met behulp van Set-Item
In dit voorbeeld kan een computer fungeren als gemachtigde voor een andere computer. De Enable-WSManCredSSP opdrachten, die in de eerdere voorbeelden worden weergegeven, schakelen CredSSP-verificatie alleen in op de clientcomputer en ze geven de externe computers op die namens de clientcomputer kunnen optreden. Als de externe computer als gemachtigde voor de clientcomputer moet fungeren, moet het CredSSP-item in de servicemap van de WSMan-provider worden ingesteld op waar.
Connect-WSMan -ComputerName "server02"
Set-Item -Path "WSMan:\server02\service\auth\credSSP" -Value $True
Connect-WSMan maakt een verbinding met de externe computer, server02.
Set-Item gebruikt de parameter Path om de locatie van de WSMan provider op te geven. De parameter Waarde stelt de instelling Service in op true.
Parameters
-DelegateComputer
Hiermee geeft u servers op waarop clientreferenties worden gedelegeerd. De best practice is om volledig gekwalificeerde domeinnamen te gebruiken.
Jokertekens worden geaccepteerd, maar kunnen CredSSP op meer computers inschakelen dan nodig is.
Als de parameter Role is Client, moet u deze parameter opgeven. Als rol is Server, geeft u deze parameter niet op.
| Type: | String[] |
| Position: | 1 |
| Default value: | None |
| Vereist: | False |
| Pijplijninvoer accepteren: | False |
| Jokertekens accepteren: | True |
-Force
Hiermee dwingt u de opdracht uit te voeren zonder dat u om bevestiging van de gebruiker wordt gevraagd.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | False |
| Vereist: | False |
| Pijplijninvoer accepteren: | False |
| Jokertekens accepteren: | False |
-Role
Hiermee geeft u op of CredSSP moet worden ingeschakeld als een client of als server. De acceptabele waarden voor deze parameter zijn: Client en Server.
Als u Client-opgeeft, worden de volgende acties uitgevoerd. Met deze instellingen kan de client expliciete referenties delegeren aan een server wanneer serververificatie wordt bereikt.
- Hiermee schakelt u CredSSP in op de client.
- Hiermee stelt u de WS-Management-instelling in op waar
\<localhost|computername\>\Client\Auth\CredSSP. - Hiermee stelt u het Windows CredSSP-beleid AllowFreshCredentials in op WSMan/Delegate op de client.
Als u Serveropgeeft, worden de volgende acties uitgevoerd. Met deze beleidsinstelling kan de server fungeren als gemachtigde voor clients.
- Hiermee schakelt u CredSSP op de server in.
- Hiermee stelt u de WS-Management-instelling in op waar
\<localhost|computername\>\Service\Auth\CredSSP.
| Type: | String |
| Geaccepteerde waarden: | Client, Server |
| Position: | 0 |
| Default value: | None |
| Vereist: | True |
| Pijplijninvoer accepteren: | False |
| Jokertekens accepteren: | False |
Invoerwaarden
None
U kunt geen objecten doorsluisen naar deze cmdlet.
Uitvoerwaarden
Als CredSSP-verificatie is ingeschakeld, retourneert deze cmdlet een XMLElement-object.
Notities
Als u CredSSP-verificatie wilt uitschakelen, gebruikt u de cmdlet Disable-WSManCredSSP.
