Compartilhar via


Enable-WSManCredSSP

Habilita a autenticação do Provedor de Suporte à Segurança de Credenciais (CredSSP) em um computador.

Sintaxe

Enable-WSManCredSSP
      [[-DelegateComputer] <String[]>]
      [-Force]
      [-Role] <String>
      [<CommonParameters>]

Description

Esse cmdlet só está disponível na plataforma Windows.

O Enable-WSManCredSSP cmdlet habilita a autenticação CredSSP em um computador cliente ou servidor. Quando a autenticação CredSSP é usada, as credenciais do usuário são passadas para um computador remoto para serem autenticadas. Esse tipo de autenticação foi projetado para comandos que criam uma sessão remota a partir de outra sessão remota. Por exemplo, se você quiser executar um trabalho em segundo plano em um computador remoto, use esse tipo de autenticação.

Enable-WSManCredSSP pode habilitar o CredSSP em um cliente ou servidor. Para habilitar o CredSSP em um cliente, especifique Client no parâmetro Role . Os clientes delegam credenciais explícitas a um servidor quando a autenticação do servidor é obtida. Para habilitar o CredSSP em um servidor, especifique Server no parâmetro Role . Um servidor atua como um delegado para clientes. Para obter mais detalhes, consulte Função na seção Parâmetros.

Cuidado

A autenticação CredSSP delega as credenciais do usuário do computador local para um computador remoto. Essa prática aumenta o risco de segurança da operação remota. Se o computador remoto estiver comprometido, no momento em que as credenciais forem passadas a ele essas credenciais poderão ser usadas para controlar a sessão de rede.

Exemplos

Exemplo 1: Delegar credenciais de cliente

Este exemplo permite que as credenciais do cliente sejam delegadas a um computador usando o nome de domínio totalmente qualificado.

Enable-WSManCredSSP -Role "Client" -DelegateComputer "Server02.fabrikam.com"

cfg         : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

Exemplo 2: Delegar credenciais de cliente a todos os computadores em um domínio

Este exemplo permite que as credenciais do cliente sejam delegadas a todos os computadores no domínio fabrikam.com . O curinga asterisco (*) especifica todos os computadores.

Observação

O uso de curingas com o parâmetro DelegateComputer pode habilitar o CredSSP em mais computadores do que o necessário.

Enable-WSManCredSSP -Role "Client" -DelegateComputer "*.fabrikam.com"

cfg         : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

Exemplo 3: Delegar credenciais de cliente a vários computadores

Este exemplo permite que as credenciais do cliente sejam delegadas a vários computadores.

$servers = "server02.fabrikam.com", "server03.fabrikam.com", "server04.fabrikam.com"
Enable-WSManCredSSP -Role "Client" -DelegateComputer $servers

cfg         : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

A $servers variável contém uma lista de nomes de servidor. Enable-WSManCredSSP usa o parâmetro Role para especificar a função Client . O DelegateComputer obtém os nomes de computador da $servers variável.

Exemplo 4: Permitir que um computador atue como um delegado

Este exemplo permite que um computador atue como um delegado para outro. O Enable-WSManCredSSP cmdlet, mostrado nos exemplos anteriores, habilita apenas a autenticação CredSSP no cliente e especifica os computadores remotos que podem agir em seu nome. Para que o computador remoto atue como um representante para o cliente, o item CredSSP no nó Serviço do WSMan deve ser definido como true. Este exemplo define o item CredSSP no nó Serviço do WSMan como true.

Enable-WSManCredSSP -Role "Server"

Exemplo 5: Permitir que um computador atue como um representante usando Set-Item

Este exemplo permite que um computador atue como um representante para outro computador. Os Enable-WSManCredSSP comandos, mostrados nos exemplos anteriores, habilitam a autenticação CredSSP somente no computador cliente e especificam os computadores remotos que podem agir em nome do computador cliente. Para que o computador remoto atue como um delegado do cliente remoto, o item CredSSP do diretório de Serviço do provedor WSMan deve ser definido como true.

Connect-WSMan -ComputerName "server02"
Set-Item -Path "WSMan:\server02\service\auth\credSSP" -Value $True

Connect-WSMan Cria uma conexão com o computador remoto, Server02. Set-Item usa o parâmetro Path para especificar o local do provedor WSMan . O parâmetro Value define a configuração Service como true.

Parâmetros

-DelegateComputer

Especifica os servidores aos quais as credenciais do cliente são delegadas. A prática recomendada é usar nomes de domínio totalmente qualificados.

Os curingas são aceitos, mas podem habilitar o CredSSP em mais computadores do que o necessário.

Se o parâmetro Role for Client, você deverá especificar esse parâmetro. Se Role for Server, não especifique esse parâmetro.

Tipo:String[]
Cargo:1
Valor padrão:None
Obrigatório:False
Aceitar a entrada de pipeline:False
Aceitar caracteres curinga:True

-Force

Força o comando a ser executado sem solicitar a confirmação do usuário.

Tipo:SwitchParameter
Cargo:Named
Valor padrão:False
Obrigatório:False
Aceitar a entrada de pipeline:False
Aceitar caracteres curinga:False

-Role

Especifica se o CredSSP deve ser habilitado como cliente ou servidor. Os valores aceitáveis para esse parâmetro são: Cliente e Servidor.

Se você especificar Cliente, as ações a seguir serão executadas. Essas configurações permitem que o cliente delegue credenciais explícitas a um servidor quando a autenticação do servidor é obtida.

  • Habilita o CredSSP no cliente.
  • Define a configuração \<localhost|computername\>\Client\Auth\CredSSP WS-Management como true.
  • Define a política CredSSP do Windows AllowFreshCredentials como WSMan/Delegate no cliente.

Se você especificar Servidor, as ações a seguir serão executadas. Essa configuração de política permite que o servidor aja como um delegado para clientes.

  • Habilita o CredSSP no servidor.
  • Define a configuração \<localhost|computername\>\Service\Auth\CredSSP WS-Management como true.
Tipo:String
Valores aceitos:Client, Server
Cargo:0
Valor padrão:None
Obrigatório:True
Aceitar a entrada de pipeline:False
Aceitar caracteres curinga:False

Entradas

None

Você não pode canalizar objetos para esse cmdlet.

Saídas

XmlElement

Se a autenticação CredSSP for habilitada com êxito, esse cmdlet retornará um objeto XMLElement .

Observações

Para desabilitar a autenticação CredSSP, use o Disable-WSManCredSSP cmdlet.