Udostępnij za pośrednictwem


Enable-WSManCredSSP

Włącza uwierzytelnianie dostawcy obsługi zabezpieczeń poświadczeń (CredSSP) na komputerze.

Składnia

Enable-WSManCredSSP
      [[-DelegateComputer] <String[]>]
      [-Force]
      [-Role] <String>
      [<CommonParameters>]

Opis

Polecenie Enable-WSManCredSSP cmdlet włącza uwierzytelnianie CredSSP na kliencie lub na komputerze serwera. Gdy jest używane uwierzytelnianie CredSSP, poświadczenia użytkownika są przekazywane do komputera zdalnego do uwierzytelnienia. Ten typ uwierzytelniania jest przeznaczony dla poleceń, które tworzą sesję zdalną z innej sesji zdalnej. Jeśli na przykład chcesz uruchomić zadanie w tle na komputerze zdalnym, użyj tego rodzaju uwierzytelniania.

Enable-WSManCredSSP Program może włączyć protokół CredSSP na kliencie lub serwerze. Aby włączyć protokół CredSSP na kliencie, określ klienta w parametrze Rola . Klienci delegować jawne poświadczenia do serwera po osiągnięciu uwierzytelniania serwera. Aby włączyć protokół CredSSP na serwerze, określ serwer w parametrze Rola . Serwer działa jako pełnomocnik dla klientów. Aby uzyskać więcej informacji, zobacz Rola w sekcji Parametry.

Uwaga

Uwierzytelnianie CredSSP deleguje poświadczenia użytkownika z komputera lokalnego do komputera zdalnego. Ta praktyka zwiększa ryzyko bezpieczeństwa operacji zdalnej. W przypadku naruszenia zabezpieczeń komputera zdalnego po przekazaniu do niego poświadczeń można użyć poświadczeń do kontrolowania sesji sieciowej.

Przykłady

Przykład 1. Delegowanie poświadczeń klienta

W tym przykładzie można delegować poświadczenia klienta do komputera przy użyciu w pełni kwalifikowanej nazwy domeny.

Enable-WSManCredSSP -Role "Client" -DelegateComputer "Server02.fabrikam.com"

cfg         : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

Przykład 2. Delegowanie poświadczeń klienta do wszystkich komputerów w domenie

W tym przykładzie można delegować poświadczenia klienta do wszystkich komputerów w domenie fabrikam.com . Gwiazdka (*) wieloznaczny określa wszystkie komputery.

Uwaga

Użycie symboli wieloznacznych z parametrem DelegateComputer może włączyć protokół CredSSP na więcej komputerów niż jest to konieczne.

Enable-WSManCredSSP -Role "Client" -DelegateComputer "*.fabrikam.com"

cfg         : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

Przykład 3. Delegowanie poświadczeń klienta do wielu komputerów

W tym przykładzie można delegować poświadczenia klienta do wielu komputerów.

$servers = "server02.fabrikam.com", "server03.fabrikam.com", "server04.fabrikam.com"
Enable-WSManCredSSP -Role "Client" -DelegateComputer $servers

cfg         : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

Zmienna $servers zawiera listę nazw serwerów. Enable-WSManCredSSP używa parametru Rola , aby określić rolę klienta . DelegateComputer pobiera nazwy komputerów ze zmiennej $servers .

Przykład 4. Zezwalanie komputerowi na działanie jako delegata

W tym przykładzie komputer może pełnić rolę pełnomocnika dla innego. Polecenie Enable-WSManCredSSP cmdlet, pokazane we wcześniejszych przykładach, włącza tylko uwierzytelnianie CredSSP na kliencie i określa komputery zdalne, które mogą działać w jego imieniu. Aby komputer zdalny działał jako pełnomocnik klienta, element CredSSP w węźle Usługi programu WSMan musi być ustawiony na wartość true. W tym przykładzie element CredSSP w węźle Usługa narzędzia WSMan ma wartość true.

Enable-WSManCredSSP -Role "Server"

Przykład 5. Zezwalanie komputerowi na działanie jako pełnomocnika przy użyciu polecenia Set-Item

W tym przykładzie komputer może pełnić rolę pełnomocnika dla innego komputera. Polecenia Enable-WSManCredSSP przedstawione we wcześniejszych przykładach umożliwiają uwierzytelnianie CredSSP tylko na komputerze klienckim i określają komputery zdalne, które mogą działać w imieniu komputera klienckiego. Aby komputer zdalny działał jako pełnomocnik dla komputera klienckiego, element CredSSP w katalogu Usługi dostawcy WSMan musi być ustawiony na wartość true.

Connect-WSMan -ComputerName "server02"
Set-Item -Path "WSMan:\server02\service\auth\credSSP" -Value $True

Connect-WSMan tworzy połączenie z komputerem zdalnym server02. Set-Itemużywa parametru Path, aby określić lokalizację dostawcy WSMan. Parametr Value ustawia ustawienie Usługi na wartość true.

Parametry

-DelegateComputer

Określa serwery, do których są delegowane poświadczenia klienta. Najlepszym rozwiązaniem jest użycie w pełni kwalifikowanych nazw domen.

Symbole wieloznaczne są akceptowane, ale można włączyć protokół CredSSP na więcej komputerów niż jest to konieczne.

Jeśli parametr roli to Klient, należy określić ten parametr. Jeśli rola jest serwerem, nie określ tego parametru.

Typ:String[]
Position:1
Domyślna wartość:None
Wymagane:False
Akceptowanie danych wejściowych potoku:False
Akceptowanie symboli wieloznacznych:True

-Force

Wymusza uruchomienie polecenia bez monitowania o potwierdzenie użytkownika.

Typ:SwitchParameter
Position:Named
Domyślna wartość:False
Wymagane:False
Akceptowanie danych wejściowych potoku:False
Akceptowanie symboli wieloznacznych:False

-Role

Określa, czy włączyć credSSP jako klient, czy jako serwer. Dopuszczalne wartości tego parametru to: Klient i serwer.

Jeśli określisz klienta, zostaną wykonane następujące akcje. Te ustawienia umożliwiają klientowi delegowanie jawnych poświadczeń do serwera po osiągnięciu uwierzytelniania serwera.

  • Włącza dostawcę CredSSP na kliencie.
  • Ustawia ustawienie \<localhost|computername\>\Client\Auth\CredSSP WS-Management na wartość true.
  • Ustawia zasady Windows CredSSP AllowFreshCredentials na WSMan/Delegate na kliencie.

Jeśli określisz serwer, zostaną wykonane następujące akcje. To ustawienie zasad umożliwia serwerowi działanie jako pełnomocnik dla klientów.

  • Włącza dostawcę CredSSP na serwerze.
  • Ustawia ustawienie \<localhost|computername\>\Service\Auth\CredSSP WS-Management na wartość true.
Typ:String
Dopuszczalne wartości:Client, Server
Position:0
Domyślna wartość:None
Wymagane:True
Akceptowanie danych wejściowych potoku:False
Akceptowanie symboli wieloznacznych:False

Dane wejściowe

None

Nie można potokować obiektów do tego polecenia cmdlet.

Dane wyjściowe

XmlElement

Jeśli uwierzytelnianie CredSSP zostało pomyślnie włączone, to polecenie cmdlet zwraca obiekt XMLElement .

Uwagi

Aby wyłączyć uwierzytelnianie CredSSP, użyj Disable-WSManCredSSP polecenia cmdlet .