Enable-WSManCredSSP
Habilita a autenticação do CredSSP (Provedor de Suporte de Segurança de Credencial) em um computador.
Syntax
Enable-WSManCredSSP
[-Role] <String>
[[-DelegateComputer] <String[]>]
[-Force]
[<CommonParameters>] Description
O Enable-WSManCredSSP cmdlet habilita a autenticação CredSSP em um cliente ou em um computador servidor.
Quando a autenticação CredSSP é usada, as credenciais do usuário são passadas para um computador remoto a ser autenticado. Esse tipo de autenticação foi projetado para comandos que criam uma sessão remota de outra sessão remota. Por exemplo, se você quiser executar um trabalho em segundo plano em um computador remoto, use esse tipo de autenticação.
Enable-WSManCredSSP pode habilitar o CredSSP em um cliente ou servidor. Para habilitar o CredSSP em um cliente, especifique Client no parâmetro Role . Os clientes delegam credenciais explícitas a um servidor quando a autenticação do servidor é obtida. Para habilitar o CredSSP em um servidor, especifique Servidor no parâmetro Role . Um servidor atua como um delegado para clientes. Para obter mais detalhes, consulte Função na seção Parâmetros.
Cuidado
A autenticação CredSSP delega as credenciais do usuário do computador local para um computador remoto. Essa prática aumenta o risco de segurança da operação remota. Se o computador remoto estiver comprometido, no momento em que as credenciais forem passadas a ele essas credenciais poderão ser usadas para controlar a sessão de rede.
Exemplos
Exemplo 1: delegar credenciais de cliente
Este exemplo permite que as credenciais do cliente sejam delegadas a um computador usando o nome de domínio totalmente qualificado.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "Server02.fabrikam.com"
cfg : https://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueExemplo 2: delegar credenciais de cliente a todos os computadores em um domínio
Este exemplo permite que as credenciais do cliente sejam delegadas a todos os computadores no domínio fabrikam.com . O curinga asterisco (*) especifica todos os computadores.
Observação
O uso de curingas com o parâmetro DelegateComputer pode habilitar o CredSSP em mais computadores do que o necessário.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "*.fabrikam.com"
cfg : https://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueExemplo 3: delegar credenciais de cliente a vários computadores
Este exemplo permite que as credenciais do cliente sejam delegadas a vários computadores.
$servers = "server02.fabrikam.com", "server03.fabrikam.com", "server04.fabrikam.com"
Enable-WSManCredSSP -Role "Client" -DelegateComputer $servers
cfg : https://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueA $servers variável contém uma lista de nomes de servidor. Enable-WSManCredSSP usa o parâmetro Role para especificar a função Cliente . O DelegateComputer obtém os nomes de computador da $servers variável .
Exemplo 4: Permitir que um computador atue como um delegado
Este exemplo permite que um computador atue como um delegado para outro. O Enable-WSManCredSSP cmdlet, mostrado nos exemplos anteriores, habilita apenas a autenticação CredSSP no cliente e especifica os computadores remotos que podem agir em seu nome. Para que o computador remoto atue como um delegado para o cliente, o item CredSSP no nó Serviço do WSMan deve ser definido como true. Este exemplo define o item CredSSP no nó Serviço do WSMan como true.
Enable-WSManCredSSP -Role "Server"Exemplo 5: Permitir que um computador atue como representante usando Set-Item
Este exemplo permite que um computador atue como um delegado para outro computador. Os Enable-WSManCredSSP comandos, mostrados nos exemplos anteriores, habilitam a autenticação CredSSP somente no computador cliente e especificam os computadores remotos que podem atuar em nome do computador cliente. Para que o computador remoto atue como um delegado do cliente remoto, o item CredSSP do diretório de Serviço do provedor WSMan deve ser definido como true.
Connect-WSMan -ComputerName "server02"
Set-Item -Path "WSMan:\server02\service\auth\credSSP" -Value $TrueConnect-WSMan cria uma conexão com o computador remoto, server02. Set-Item usa o parâmetro Path para especificar o local do provedor WSMan . O parâmetro Value define a configuração Serviço como true.
Parâmetros
-DelegateComputer
Especifica os servidores aos quais as credenciais do cliente são delegadas. A melhor prática é usar nomes de domínio totalmente qualificados.
Curingas são aceitos, mas podem habilitar o CredSSP em mais computadores do que o necessário.
Se o parâmetro Role for Client, você deverá especificar esse parâmetro. Se Função for Servidor, não especifique esse parâmetro.
| Type: | String[] |
| Position: | 1 |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | True |
-Force
Força o comando a ser executado sem solicitar a confirmação do usuário.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | False |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-Role
Especifica se o CredSSP deve ser habilitado como um cliente ou como um servidor. Os valores aceitáveis para esse parâmetro são: Cliente e Servidor.
Se você especificar Cliente, as ações a seguir serão executadas. Essas configurações permitem que o cliente delegue credenciais explícitas a um servidor quando a autenticação do servidor é obtida.
- Habilita o CredSSP no cliente.
- Define a configuração
\<localhost|computername\>\Client\Auth\CredSSPWS-Management como true. - Define a política do Windows CredSSP AllowFreshCredentials como WSMan/Delegate no cliente.
Se você especificar Servidor, as ações a seguir serão executadas. Essa configuração de política permite que o servidor aja como um delegado para clientes.
- Habilita o CredSSP no servidor.
- Define a configuração
\<localhost|computername\>\Service\Auth\CredSSPWS-Management como true.
| Type: | String |
| Accepted values: | Client, Server |
| Position: | 0 |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
Entradas
None
Esse cmdlet não aceita nenhuma entrada.
Saídas
Se a autenticação CredSSP estiver habilitada com êxito, esse cmdlet gerará um objeto XMLElement .
Observações
Para desabilitar a autenticação CredSSP, use o Disable-WSManCredSSP cmdlet .