共用方式為

遠端連線的驗證

  • 發行項

Windows 遠端管理藉由支援數種標準驗證和訊息加密方法,維護計算機之間通訊的安全性。

默認群組存取

在安裝期間,WinRM 會建立本機群組 WinRMRemoteWMIUsers__。 然後,WinRM 會將遠端訪問限制為非本機管理群組或 WinRMRemoteWMIUsers__ 群組成員的任何使用者。 您可以在命令提示字元中輸入 net localgroup WinRMRemoteWMIUsers__ /add <domain>\<username>,將本機使用者、網域使用者或網域群組新增至 WinRMRemoteWMIUsers__。 您可以選擇性地使用組策略將使用者新增至群組。

默認驗證設定

默認認證、使用者名稱和密碼是執行腳本之登入用戶帳戶的認證。

若要變更為遠端電腦上的另一個帳戶,

  1. ConnectionOptionsIWSManConnectionOptions 物件中指定認證,並將認證提供給 CreateSession 呼叫。
  2. CreateSession 呼叫 旗標 參數中,設定 WSManFlagCredUserNamePassword

下列清單包含文稿或應用程式在預設認證下執行時所發生的情況清單:

  • Kerberos 是用戶端在網域中且遠端目的地字串不是下列其中一項時進行驗證的預設方法:localhost、127.0.0.1 或 [:1]。
  • 當用戶端不在網域中時,Negotiate 是預設方法,但遠端目的地字串是下列其中一個:localhost、127.0.0.1 或 [:1]。

如果您使用 ConnectionOptions 物件提供明確的認證,Negotiate 是預設方法。 交涉驗證會根據計算機是否在網域或工作組中,判斷進行中的驗證方法為 Kerberos 或 NTLM。 如果使用本機帳戶連線到遠端目標計算機,則帳戶應該前面加上計算機名稱。 例如,myComputer\myUsername。

如果您指定交涉、摘要或基本身份驗證,且無法提供 ConnectionOptions 物件,您會收到錯誤,指出需要明確的認證。 如果 HTTPS 不是傳輸,則必須在受信任的主計算機清單中設定目標遠端電腦。

如需預設組態設定中啟用之驗證類型的詳細資訊,請參閱 Windows 遠端管理安裝與設定

基本身份驗證

若要在呼叫 WSMan.CreateSession中明確建立基本 驗證,請設定 WSManFlagUseBasicWSManFlagCredUserNamePassword 旗標 參數。 在 WinRM 用戶端和 WinRM 伺服器的預設組態設定中,會停用基本身份驗證。

摘要式驗證

若要在呼叫 WSMan.CreateSession中明確建立摘要 驗證,請在 旗標 參數中設定 WSManFlagUseDigest 旗標。 不支援摘要。 無法針對 WinRM 伺服器元件進行設定。

交涉驗證

若要明確建立 交涉 驗證,也稱為 Windows 整合式驗證,請在呼叫 WSMan.CreateSession中,在 旗標 參數中設定 WSManFlagUseNegotiate 旗標。

用戶帳戶控制 (UAC) 會影響 WinRM 服務的存取權。 當交涉驗證用於工作組時,只有內建的系統管理員帳戶可以存取服務。 若要允許系統管理員群組中的所有帳戶存取服務,請設定下列登錄值:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolicy = 1

Kerberos 驗證

若要在呼叫 WSMan.CreateSession中明確建立 Kerberos 驗證,請在 旗標 參數中設定 WSManFlagUseKerberos 旗標。 用戶端和伺服器電腦都必須加入網域。 如果您使用 Kerberos 作為驗證方法,則無法在呼叫 WSMan.CreateSessionIWSMan::CreateSession中使用 IP 位址。

用戶端憑證式驗證

若要在呼叫 WSMan.CreateSession中建立用戶端憑證型驗證,請在 旗標 參數中設定 WSManFlagUseClientCertificate 旗標。

您必須先使用 Winrm 命令行工具,在用戶端和服務上啟用憑證驗證。 如需詳細資訊,請參閱 啟用驗證選項。 您也必須在 WinRM 伺服器電腦上的 CertMapping 數據表中建立專案。 這會建立一或多個憑證與本機帳戶之間的對應。 憑證用於驗證和授權之後,對應的本機帳戶會用於 WinRM 服務所執行的作業。

您可以針對特定資源 URI 建立對應。 若要深入瞭解,包括如何建立 CertMapping 數據表專案,請在命令提示字元輸入 winrm 說明 certmapping

注意

此內容中 WinRM 可使用的大小上限憑證為 16KB。

 

啟用或停用驗證選項

系統安裝的預設驗證選項為 Kerberos。 如需詳細資訊,請參閱 Windows 遠端管理安裝與設定

如果您的文稿或應用程式需要未啟用的特定驗證方法,您必須變更組態以啟用這種類型的驗證。 您可以使用 Winrm 命令行工具,或透過 Windows 遠端管理組策略物件的組策略進行這項變更。 您也可以選擇停用某些驗證方法。

使用 Winrm 工具啟用或停用驗證

  1. 若要設定 WinRM 用戶端的組態,請使用 Winrm Set 命令並指定用戶端。 例如,下列命令會停用用戶端的摘要式驗證。

    winrm set winrm/config/client/auth @{Digest=“false”}

  2. 若要設定 WinRM 伺服器的組態,請使用 Winrm Set 命令並指定服務。 例如,下列命令會啟用服務的 Kerberos 驗證。

    winrm set winrm/config/service/auth @{Kerberos=“true”}

關於 Windows 遠端管理

WSMan.CreateSession

使用 Windows 遠端管理