Udostępnij za pośrednictwem

Uwierzytelnianie połączeń zdalnych

  • Artykuł

Zdalne zarządzanie systemem Windows zapewnia bezpieczeństwo komunikacji między komputerami, obsługując kilka standardowych metod uwierzytelniania i szyfrowania komunikatów.

Domyślny dostęp do grupy

Podczas instalacji usługa WinRM tworzy grupę lokalną WinRMRemoteWMIUsers__. Usługa WinRM ogranicza następnie zdalny dostęp do dowolnego użytkownika, który nie jest członkiem lokalnej grupy administracyjnej lub grupy WinRMRemoteWMIUsers__. Możesz dodać użytkownika lokalnego, użytkownika domeny lub grupę domen, aby WinRMRemoteWMIUsers__, wpisując net localgroup WinRMRemoteWMIUsers__ /add <domain>\<nazwa użytkownika> w wierszu polecenia. Opcjonalnie możesz użyć zasad grupy, aby dodać użytkownika do grupy.

Domyślne ustawienia uwierzytelniania

Domyślne poświadczenia, nazwa użytkownika i hasło to poświadczenia dla zalogowanego konta użytkownika, które uruchamia skrypt.

Aby zmienić konto na inne konto na komputerze zdalnym

  1. Określ poświadczenia w obiekcie ConnectionOptions lub IWSManConnectionOptions obiektu i podaj je do wywołania CreateSession.
  2. Ustaw WSManFlagCredUserNamePassword w flagi parametru w wywołaniu CreateSession.

Poniższa lista zawiera listę działań wykonywanych w przypadku uruchomienia skryptu lub aplikacji w ramach poświadczeń domyślnych:

  • kerberos jest domyślną metodą uwierzytelniania, gdy klient znajduje się w domenie, a zdalny ciąg docelowy nie jest jednym z następujących: localhost, 127.0.0.1 lub [::1].
  • Negotiate jest metodą domyślną, gdy klient nie znajduje się w domenie, ale zdalny ciąg docelowy jest jednym z następujących elementów: localhost, 127.0.0.1 lub [::1].

Jeśli podasz jawne poświadczenia z obiektem ConnectionOptions, Negotiate jest metodą domyślną. Uwierzytelnianie negocjowane określa, czy bieżąca metoda uwierzytelniania to Kerberos czy NTLM, w zależności od tego, czy komputery znajdują się w domenie, czy grupie roboczej. W przypadku nawiązywania połączenia z komputerem docelowym zdalnym przy użyciu konta lokalnego konto powinno być poprzedzone nazwą komputera. Na przykład myComputer\myUsername.

Jeśli określisz uwierzytelnianie negocjowane, szyfrowane lub podstawowe i nie podasz obiektu ConnectionOptions, zostanie wyświetlony błąd wskazujący, że wymagane są jawne poświadczenia. Jeśli protokół HTTPS nie jest transportem, docelowy komputer zdalny musi być skonfigurowany na liście zaufanych komputerów-hostów.

Aby uzyskać więcej informacji na temat typów uwierzytelniania, które są włączone w domyślnych ustawieniach konfiguracji, zobacz Instalacja i konfiguracja na potrzeby zdalnego zarządzania systemem Windows.

Uwierzytelnianie podstawowe

Aby jawnie ustanowić uwierzytelnianie Basic w wywołaniu WSMan.CreateSession, ustaw flagi WSManFlagUseBasic i WSManFlagCredUserNamePassword flagi . Uwierzytelnianie podstawowe jest wyłączone w domyślnych ustawieniach konfiguracji zarówno klienta usługi WinRM, jak i serwera WinRM.

Uwierzytelnianie szyfrowane

Aby jawnie ustanowić uwierzytelnianieszyfrowanew wywołaniu WSMan.CreateSession, ustaw flagę WSManFlagUseDigest w flagach parametru. Skrót nie jest obsługiwany. Nie można go skonfigurować dla składnika serwera WinRM.

Uwierzytelnianie negocjowane

Aby jawnie ustanowić uwierzytelnianie negotiate, znane również jako uwierzytelnianie zintegrowane systemu Windows, w wywołaniu WSMan.CreateSessionustaw flagę WSManFlagUseNegotiate w flagi parametru.

kontrola konta użytkownika (UAC) wpływa na dostęp do usługi WinRM. W przypadku użycia uwierzytelniania w grupie roboczej tylko wbudowane konto administratora może uzyskiwać dostęp do usługi. Aby zezwolić wszystkim kontom w grupie Administratorzy na dostęp do usługi, ustaw następującą wartość rejestru:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolicy = 1

Uwierzytelnianie Kerberos

Aby jawnie ustanowić uwierzytelnianie Kerberos w wywołaniu WSMan.CreateSession, ustaw flagę WSManFlagUseKerberos w flagi parametru. Zarówno klient, jak i komputery serwera muszą być przyłączone do domeny. Jeśli używasz protokołu Kerberos jako metody uwierzytelniania, nie możesz użyć adresu IP w wywołaniu , aby WSMan.CreateSession lub IWSMan::CreateSession.

Uwierzytelnianie oparte na certyfikatach klienta

Aby ustanowić uwierzytelnianie oparte na certyfikatach klienta w wywołaniu WSMan.CreateSession, ustaw flagę WSManFlagUseClientCertificate w flagi parametru.

Najpierw należy włączyć uwierzytelnianie certyfikatu zarówno na kliencie, jak i w usłudze przy użyciu narzędzia wiersza polecenia usługi Winrm. Aby uzyskać więcej informacji, zobacz Włączanie opcji uwierzytelniania. Należy również utworzyć wpis w tabeli CertMapping na komputerze serwera WinRM. Spowoduje to utworzenie mapowania między co najmniej jednym certyfikatem a kontem lokalnym. Po użyciu certyfikatu na potrzeby uwierzytelniania i autoryzacji odpowiednie konto lokalne jest używane na potrzeby operacji wykonywanych przez usługę WinRM.

Mapowanie można utworzyć dla określonego identyfikatora URI zasobu. Aby dowiedzieć się więcej, w tym jak utworzyć wpis tabeli CertMapping, wpisz winrm help certmapping w wierszu polecenia.

Nuta

Maksymalny rozmiar certyfikatu używanego przez usługę WinRM w tym kontekście wynosi 16 KB.

 

Włączanie lub wyłączanie opcji uwierzytelniania

Domyślną opcją uwierzytelniania podczas instalacji systemu jest Kerberos. Aby uzyskać więcej informacji, zobacz Instalacja i konfiguracja na potrzeby zarządzania zdalnego systemu Windows.

Jeśli skrypt lub aplikacja wymaga określonej metody uwierzytelniania, która nie jest włączona, musisz zmienić konfigurację, aby włączyć ten typ uwierzytelniania. Tę zmianę można wprowadzić przy użyciu narzędzia wiersza polecenia Winrm lub za pomocą zasad grupy dla obiektu zasad grupy zarządzania zdalnego systemu Windows. Możesz również wyłączyć niektóre metody uwierzytelniania.

Aby włączyć lub wyłączyć uwierzytelnianie za pomocą narzędzia Winrm

  1. Aby ustawić konfigurację klienta WinRM, użyj polecenia Winrm Set i określ klienta. Na przykład następujące polecenie wyłącza uwierzytelnianie szyfrowane dla klienta.

    winrm set winrm/config/client/auth @{Digest="false"}

  2. Aby ustawić konfigurację serwera WinRM, użyj polecenia Winrm Set i określ usługę. Na przykład następujące polecenie włącza uwierzytelnianie Kerberos dla usługi.

    winrm set winrm/config/service/auth @{Kerberos="true"}

Informacje o zdalnego zarządzania systemem Windows

WSMan.CreateSession

przy użyciu zdalnego zarządzania systemem Windows