Autentisering för fjärranslutningar
Windows Remote Management upprätthåller säkerheten för kommunikation mellan datorer genom att stödja flera standardmetoder för autentisering och meddelandekryptering.
Standardgruppåtkomst
Under installationen skapar WinRM den lokala gruppen WinRMRemoteWMIUsers__. WinRM begränsar sedan fjärråtkomst till alla användare som inte är medlemmar i den lokala administrationsgruppen eller den WinRMRemoteWMIUsers__ gruppen. Du kan lägga till en lokal användare, domänanvändare eller domängrupp i WinRMRemoteWMIUsers__ genom att skriva net localgroup WinRMRemoteWMIUsers__ /add <domain>\<username> i kommandotolken. Du kan också använda grupprincipen för att lägga till en användare i gruppen.
Standardinställningar för autentisering
Standardautentiseringsuppgifterna, användarnamnet och lösenordet är autentiseringsuppgifterna för det inloggade användarkontot som kör skriptet.
Ändra till ett annat konto på en fjärrdator
- Ange autentiseringsuppgifterna i ett ConnectionOptions-- eller IWSManConnectionOptions-objekt och ange det till anropet CreateSession.
- Ange WSManFlagCredUserNamePassword i parametern flags i anropet CreateSession.
Följande lista innehåller en lista över vad som händer när ett skript eller program körs under standardautentiseringsuppgifterna:
- Kerberos är standardmetoden för autentisering när klienten finns i en domän och fjärrmålsträngen inte är något av följande: localhost, 127.0.0.1 eller [::1].
- Negotiate är standardmetoden när klienten inte finns i en domän, men fjärrmålsträngen är något av följande: localhost, 127.0.0.1 eller [::1].
Om du anger explicita autentiseringsuppgifter med ett ConnectionOptions-objekt är Negotiate standardmetoden. Förhandla om autentisering avgör om den pågående autentiseringsmetoden är Kerberos eller NTLM, beroende på om datorerna finns i en domän eller arbetsgrupp. Om du ansluter till en fjärrmåldator med ett lokalt konto ska kontot vara prefixet med datornamnet. Till exempel myComputer\myUsername.
Om du anger Negotiate, Digest eller Basic-autentisering och inte kan ange ett ConnectionOptions-objekt får du ett felmeddelande som anger att explicita autentiseringsuppgifter krävs. Om HTTPS inte är transporten måste målfjärrdatorn konfigureras i listan över betrodda värddatorer.
Mer information om de autentiseringstyper som är aktiverade i standardkonfigurationsinställningarna finns i Installation och konfiguration för Windows Remote Management.
Grundläggande autentisering
Om du uttryckligen vill etablera Basic-autentisering i anropet till WSMan.CreateSessionanger du WSManFlagUseBasic och WSManFlagCredUserNamePassword flaggor i flaggor parametern. Grundläggande autentisering är inaktiverad i standardkonfigurationsinställningarna för både WinRM-klienten och WinRM-servern.
Sammanfattad autentisering
Om du uttryckligen vill etablera Digest-autentisering i anropet till WSMan.CreateSessionanger du flaggan WSManFlagUseDigest i flaggor parametern. Sammanfatta stöds inte. Det går inte att konfigurera för WinRM-serverkomponenten.
Förhandla om autentisering
Om du uttryckligen vill etablera Negotiate authentication, även kallat Windows Integrated Authentication, i anropet till WSMan.CreateSessionanger du flaggan WSManFlagUseNegotiate i parametern flags.
UAC (User Account Control) påverkar åtkomsten till WinRM-tjänsten. När Negotiate-autentisering används i en arbetsgrupp kan endast det inbyggda administratörskontot komma åt tjänsten. Om du vill tillåta att alla konton i gruppen Administratörer får åtkomst till tjänsten anger du följande registervärde:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolicy = 1
Kerberos-autentisering
Om du vill upprätta Kerberos-autentisering i anropet till WSMan.CreateSessionanger du flaggan WSManFlagUseKerberos i flaggor parametern. Både klienten och serverdatorerna måste vara anslutna till en domän. Om du använder Kerberos som autentiseringsmetod kan du inte använda en IP-adress i anropet till WSMan.CreateSession eller IWSMan::CreateSession.
Klientcertifikatbaserad autentisering
Om du vill upprätta klientcertifikatbaserad autentisering i anropet till WSMan.CreateSessionanger du flaggan WSManFlagUseClientCertificate i flaggor parametern.
Du måste först aktivera certifikatautentisering på både klienten och tjänsten med hjälp av kommandoradsverktyget Winrm. Mer information finns i Aktivera autentiseringsalternativ. Du måste också skapa en post i tabellen CertMapping på WinRM-serverdatorn. Detta upprättar en mappning mellan ett eller flera certifikat och ett lokalt konto. När certifikatet har använts för autentisering och auktorisering används motsvarande lokala konto för åtgärder som utförs av WinRM-tjänsten.
Mappningen kan skapas för en specifik resurs-URI. Om du vill veta mer, inklusive hur du skapar en certMapping-tabellpost, skriver du winrm help certmapping i kommandotolken.
Not
Det maximala storlekscertifikat som kan användas av WinRM i den här kontexten är 16 KB.
Aktivera eller inaktivera autentiseringsalternativ
Standardalternativet för autentisering vid systeminstallation är Kerberos. Mer information finns i Installation och konfiguration för Windows Remote Management.
Om skriptet eller programmet kräver en specifik autentiseringsmetod som inte är aktiverad måste du ändra konfigurationen för att aktivera den här typen av autentisering. Den här ändringen kan göras med hjälp av kommandoradsverktyget Winrm eller med grupprincip för Grupprincipobjekt för Windows fjärrhantering. Du kan också välja att inaktivera vissa autentiseringsmetoder.
Aktivera eller inaktivera autentisering med Winrm-verktyget
Om du vill ange konfigurationen för WinRM-klienten använder du kommandot Winrm Set och anger klienten. Följande kommando inaktiverar till exempel sammanfattad autentisering för klienten.
winrm set winrm/config/client/auth @{Digest="false"}
Om du vill ange konfigurationen för WinRM-servern använder du kommandot Winrm Set och anger tjänsten. Följande kommando aktiverar till exempel Kerberos-autentisering för tjänsten.
winrm set winrm/config/service/auth @{Kerberos="true"}
Relaterade ämnen