共用方式為

遠端連線的驗證

  • 發行項

Windows 遠端系統管理藉由支援數種驗證和訊息加密的標準方法,維護電腦之間通訊的安全性。

預設群組存取

在安裝期間,WinRM 會建立本機群組 WinRMRemoteWMIUsers__。 然後,WinRM 會將遠端存取限制為不是本機系統管理群組或 WinRMRemoteWMIUsers__ 群組成員的任何使用者。 您可以在命令提示字元中輸入net localgroup WinRMRemoteWMIUsers__ /add < domain > \ < username >,將本機使用者、網域使用者或網域群組新增至WinRMRemoteWMIUsers__。 您可以選擇性地使用群組原則將使用者新增至群組。

預設驗證設定

預設認證、使用者名稱和密碼是執行腳本之登入使用者帳戶的認證。

若要變更為遠端電腦上的另一個帳戶

  1. ConnectionOptionsIWSManConnectionOptions 物件中指定認證,並將該認證提供給 CreateSession 呼叫。
  2. CreateSession呼叫的flags參數中設定WSManFlagCredUserNamePassword

下列清單包含腳本或應用程式在預設認證下執行時所發生的情況清單:

  • 當用戶端位於網域且遠端目的地字串不是下列其中一項時,Kerberos是驗證的預設方法:localhost、127.0.0.1 或 [::1]。
  • 用戶端不在網域中,但遠端目的地字串是下列其中一項時,Negotiate 是預設方法:localhost、127.0.0.1 或 [::1]。

如果您使用 ConnectionOptions 物件提供明確的認證,Negotiate 是預設方法。 交涉驗證會根據電腦在網域或工作組中,判斷進行中的驗證方法是 Kerberos 或 NTLM。 如果使用本機帳戶連線到遠端目的電腦,則帳戶應前面加上電腦名稱稱。 例如,myComputer\myUsername。

如果您指定 Negotiate、Digest 或 Basic 驗證,而且無法提供 ConnectionOptions 物件,則會收到錯誤,指出需要明確的認證。 如果 HTTPS 不是傳輸,則必須在受信任的主機電腦清單中設定目標遠端電腦。

如需預設組態設定中啟用之驗證類型的詳細資訊,請參閱 Windows 遠端系統管理的安裝和組態

基本驗證

若要在呼叫WSMan.CreateSession中明確建立基本身份驗證,請在flags參數中設定WSManFlagUseBasicWSManFlagCredUserNamePassword旗標。 在 WinRM 用戶端和 WinRM 伺服器的預設組態設定中,會停用基本驗證。

摘要式驗證

若要在呼叫WSMan.CreateSession中明確建立摘要式驗證,請在flags參數中設定WSManFlagUseDigest旗標。 不支援摘要。 無法為 WinRM 伺服器元件設定它。

交涉驗證

若要明確建立交涉驗證,也稱為 Windows 整合式驗證,請在呼叫WSMan.CreateSession時,在flags參數中設定WSManFlagUseNegotiate旗標。

使用者帳戶控制 (UAC) 會影響 WinRM 服務的存取權。 當交涉驗證用於工作組時,只有內建的 Administrator 帳戶可以存取服務。 若要允許 Administrators 群組中的所有帳戶存取服務,請設定下列登錄值:

\ HKEY_LOCAL_MACHINE軟體\微軟\窗戶\CurrentVersion\政策\系統\LocalAccountTokenFilterPolicy = 1

Kerberos 驗證

若要在呼叫WSMan.CreateSession中明確建立Kerberos驗證,請在flags參數中設定WSManFlagUseKerberos旗標。 用戶端和伺服器電腦都必須加入網域。 如果您使用 Kerberos 作為驗證方法,則無法在 呼叫 WSMan.CreateSessionIWSMan::CreateSession中使用 IP 位址。

用戶端憑證式驗證

若要在呼叫WSMan.CreateSession中建立用戶端憑證型驗證,請在flags參數中設定WSManFlagUseClientCertificate旗標。

您必須先使用 Winrm 命令列工具,在用戶端和服務上啟用憑證驗證。 如需詳細資訊,請參閱 啟用驗證選項。 您也必須在 WinRM 伺服器電腦上的 CertMapping 資料表中建立專案。 這會建立一或多個憑證與本機帳戶之間的對應。 憑證用於驗證和授權之後,對應的本機帳戶會用於 WinRM 服務所執行的作業。

您可以針對特定資源 URI 建立對應。 若要深入瞭解,包括如何建立 CertMapping 資料表專案,請在命令提示字元中輸入 winrm 說明 certmapping

注意

此內容中 WinRM 可使用的大小上限憑證為 16KB。

 

啟用或停用驗證選項

系統安裝時的預設驗證選項為 Kerberos。 如需詳細資訊,請參閱 Windows 遠端系統管理的安裝和設定。

如果您的腳本或應用程式需要未啟用的特定驗證方法,您必須變更設定以啟用這種類型的驗證。 您可以使用Winrm命令列工具或透過 Windows 遠端系統管理群組原則物件的群組原則來進行這項變更。 您也可以選擇停用某些驗證方法。

若要使用 Winrm 工具啟用或停用驗證

  1. 若要設定 WinRM 用戶端的組態,請使用 Winrm Set 命令並指定用戶端。 例如,下列命令會停用用戶端的摘要式驗證。

    winrm set winrm/config/client/auth @{Digest=「false」}

  2. 若要設定 WinRM 伺服器的組態,請使用 Winrm Set 命令並指定服務。 例如,下列命令會啟用服務的 Kerberos 驗證。

    winrm set winrm/config/service/auth @{Kerberos=「true」}

關於 Windows 遠端系統管理

WSMan.CreateSession

使用 Windows 遠端系統管理