Enable-WSManCredSSP
在計算機上啟用認證安全性支援提供者 (CredSSP) 驗證。
Syntax
Enable-WSManCredSSP
[-Role] <String>
[[-DelegateComputer] <String[]>]
[-Force]
[<CommonParameters>] Description
Cmdlet Enable-WSManCredSSP 可在用戶端或伺服器電腦上啟用 CredSSP 驗證。
使用 CredSSP 驗證時,會將使用者認證傳遞到遠端電腦進行驗證。 此類型的驗證是針對會從另一個遠端工作階段建立遠端工作階段的命令所設計。 例如,若您想在遠端電腦上執行背景工作,請使用此類型的驗證。
Enable-WSManCredSSP 可以在 客戶端 或 伺服器上啟用 CredSSP。 若要在用戶端上啟用 CredSSP,請在 Role 參數中指定 Client。 用戶端會在達到伺服器驗證時,將明確認證委派給伺服器。 若要在伺服器上啟用 CredSSP,請在 Role 參數中指定伺服器。 伺服器可作為用戶端的委派。 如需詳細資訊,請參閱參數一節中的 角色 。
警告
CredSSP 驗證會將使用者認證從本機計算機委派給遠端電腦。 此做法會使得遠端作業的安全性風險變高。 若遠端電腦遭到入侵,當認證被傳遞給它時,該認證便可用來控制網路工作階段。
範例
範例 1︰委派用戶端認證
此範例允許使用完整域名將客戶端認證委派給計算機。
Enable-WSManCredSSP -Role "Client" -DelegateComputer "Server02.fabrikam.com"
cfg : https://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : true範例 2︰將用戶端認證委派給網域中的所有電腦
此範例允許將客戶端認證委派給 fabrikam.com 網域中的所有計算機。 通配符 (*) 星號會指定所有計算機。
注意
搭配 DelegateComputer 參數使用通配符,可以在比必要更多的電腦上啟用 CredSSP。
Enable-WSManCredSSP -Role "Client" -DelegateComputer "*.fabrikam.com"
cfg : https://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : true範例 3︰將用戶端認證委派給多部電腦
此範例允許將客戶端認證委派給多部計算機。
$servers = "server02.fabrikam.com", "server03.fabrikam.com", "server04.fabrikam.com"
Enable-WSManCredSSP -Role "Client" -DelegateComputer $servers
cfg : https://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : true變數 $servers 包含伺服器名稱的清單。 Enable-WSManCredSSP 會使用 Role 參數來指定 用戶端 角色。 DelegateComputer 會從$servers變數取得計算機名稱。
範例 4︰允許電腦做為委派對象
此範例可讓計算機做為另一部計算機的委派。 Enable-WSManCredSSP如先前範例所示的 Cmdlet 只會在用戶端上啟用 CredSSP 驗證,並指定可以代表其採取行動的遠端電腦。 為了讓遠端電腦做為用戶端的委派,WSMan 服務 節點中的 CredSSP 專案必須設定為 true。 本範例會將 WSMan 服務 節點中的 CredSSP 專案設定為 true。
Enable-WSManCredSSP -Role "Server"範例 5︰使用 Set-Item 允許電腦做為委派對象
此範例允許電腦做為另一部電腦的委派對象。 Enable-WSManCredSSP先前範例所示的命令只會在用戶端電腦上啟用 CredSSP 驗證,並指定可以代表用戶端電腦採取行動的遠端電腦。 若要讓遠端電腦可做為用戶端的委派對象,必須將 WSMan 提供者之 Service 目錄中的 CredSSP 項目設定為 True。
Connect-WSMan -ComputerName "server02"
Set-Item -Path "WSMan:\server02\service\auth\credSSP" -Value $TrueConnect-WSMan 會建立與遠端電腦 server02 的連線。 Set-Item 會使用 Path 參數來指定 WSMan 提供者的位置。 Value 參數會將 [服務] 設定為 true。
參數
-DelegateComputer
指定要委派用戶端認證的伺服器。 最佳做法是使用完整功能變數名稱。
接受通配符,但可以在比必要更多的計算機上啟用 CredSSP。
如果 Role 參數是 Client,您必須指定此參數。 如果 Role 是 Server,請勿指定此參數。
| Type: | String[] |
| Position: | 1 |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | True |
-Force
強制執行命令而不要求使用者確認。
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | False |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-Role
指定是否要啟用 CredSSP 做為用戶端或伺服器。 此參數可接受的值為: 客戶端 和 伺服器。
如果您指定 Client,則會執行下列動作。 這些設定可讓用戶端將明確宣告的認證委派給伺服器 (當達成使用伺服器驗證時)。
- 啟用用戶端上的 CredSSP。
- 將 WS-Management 設定
\<localhost|computername\>\Client\Auth\CredSSP設為 true。 - 將 Windows CredSSP 原則 AllowFreshCredentials 設定為用戶端上的 WSMan/Delegate 。
如果您指定 伺服器,則會執行下列動作。 此原則設定可讓伺服器做為用戶端的委派對象。
- 啟用伺服器上的 CredSSP。
- 將 WS-Management 設定
\<localhost|computername\>\Service\Auth\CredSSP設為 true。
| Type: | String |
| Accepted values: | Client, Server |
| Position: | 0 |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
輸入
None
此 Cmdlet 不接受任何輸入。
輸出
如果成功啟用 CredSSP 驗證,此 Cmdlet 會產生 XMLElement 物件。
備註
若要停用 CredSSP 驗證,請使用 Disable-WSManCredSSP Cmdlet。