Enable-WSManCredSSP
Povolí ověřování zprostředkovatele credSSP (Credential Security Support Provider) na počítači.
Syntax
Enable-WSManCredSSP
[[-DelegateComputer] <String[]>]
[-Force]
[-Role] <String>
[<CommonParameters>] Description
Tato rutina je dostupná jenom na platformě Windows.
Rutina Enable-WSManCredSSP povolí ověřování CredSSP na klientovi nebo na serverovém počítači.
Při použití ověřování CredSSP se přihlašovací údaje uživatele předají vzdálenému počítači, který se má ověřit. Tento typ ověřování je určený pro příkazy, které vytvoří vzdálenou relaci z jiné vzdálené relace. Pokud například chcete spustit úlohu na pozadí na vzdáleném počítači, použijte tento druh ověřování.
Enable-WSManCredSSP může povolit CredSSP na klientovi nebo serveru. Pokud chcete povolit CredSSP na klientovi, v parametru Role zadejte Client. Klienti deleguje na server explicitní přihlašovací údaje, když se dosáhne ověření serveru. Pokud chcete povolit CredSSP na serveru, v parametru Role zadejte Server. Server funguje jako delegát pro klienty. Další podrobnosti najdete v části Role v části Parametry.
Upozornění
Ověřování CredSSP deleguje přihlašovací údaje uživatele z místního počítače na vzdálený počítač. Tento postup zvyšuje bezpečnostní riziko vzdálené operace. Pokud dojde k ohrožení zabezpečení vzdáleného počítače a jsou do něj předány přihlašovací údaje, můžete je použít k řízení síťové relace.
Příklady
Příklad 1: Delegování přihlašovacích údajů klienta
Tento příklad umožňuje delegovat přihlašovací údaje klienta na počítač pomocí plně kvalifikovaného názvu domény.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "Server02.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : truePříklad 2: Delegování přihlašovacích údajů klienta na všechny počítače v doméně
Tento příklad umožňuje delegovat přihlašovací údaje klienta na všechny počítače v fabrikam.com doméně. Zástupný znak hvězdička (*) určuje všechny počítače.
Poznámka
Použití zástupných znaků s parametrem DelegateComputer může povolit CredSSP na více počítačích, než je nutné.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "*.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : truePříklad 3: Delegování přihlašovacích údajů klienta do více počítačů
Tento příklad umožňuje delegovat přihlašovací údaje klienta na více počítačů.
$servers = "server02.fabrikam.com", "server03.fabrikam.com", "server04.fabrikam.com"
Enable-WSManCredSSP -Role "Client" -DelegateComputer $servers
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueProměnná $servers obsahuje seznam názvů serverů. Enable-WSManCredSSP pomocí parametru Role určí roli klienta . DelegateComputer získá názvy počítačů z $servers proměnné.
Příklad 4: Povolení, aby počítač fungoval jako delegát
Tento příklad umožňuje, aby počítač fungoval jako delegát jiného počítače. Rutina zobrazená Enable-WSManCredSSP v předchozích příkladech povoluje ověřování CredSSP pouze na klientovi a určuje vzdálené počítače, které můžou jednat jejím jménem. Aby vzdálený počítač fungoval jako delegát pro klienta, musí být položka CredSSP v uzlu služby WSMan nastavena na hodnotu true. Tento příklad nastaví položku CredSSP v uzlu Služby WSMan na hodnotu true.
Enable-WSManCredSSP -Role "Server"Příklad 5: Povolení, aby počítač fungoval jako delegát pomocí Set-Item
Tento příklad umožňuje, aby počítač fungoval jako delegát pro jiný počítač. Příkazy Enable-WSManCredSSP uvedené v předchozích příkladech umožňují ověřování CredSSP pouze na klientském počítači a určují vzdálené počítače, které můžou jednat jménem klientského počítače. Aby vzdálený počítač fungoval jako delegát klientského počítače, musí být položka CredSSP v adresáři služby zprostředkovatele WSMan nastavena na hodnotu true.
Connect-WSMan -ComputerName "server02"
Set-Item -Path "WSMan:\server02\service\auth\credSSP" -Value $TrueConnect-WSMan vytvoří připojení ke vzdálenému počítači server02. Set-Item používá parametr Path k určení umístění zprostředkovatele WSMan . Parametr Value nastaví nastavení Service na hodnotu true.
Parametry
-DelegateComputer
Určuje servery, na které se delegují přihlašovací údaje klienta. Osvědčeným postupem je používat plně kvalifikované názvy domén.
Zástupné znaky jsou přijímány, ale můžou povolit CredSSP na více počítačích, než je nutné.
Pokud je parametr RoleKlient, musíte zadat tento parametr. Pokud je RoleServer, nezadávejte tento parametr.
| Type: | String[] |
| Position: | 1 |
| Default value: | None |
| Accept pipeline input: | False |
| Accept wildcard characters: | True |
-Force
Vynutí spuštění příkazu bez žádosti o potvrzení uživatele.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-Role
Určuje, zda se má povolit CredSSP jako klient nebo jako server. Přijatelné hodnoty pro tento parametr jsou: Klient a Server.
Pokud zadáte Klient, provedou se následující akce. Tato nastavení umožňují klientovi delegovat explicitní přihlašovací údaje na server, když se dosáhne ověření serveru.
- Povolí credSSP na klientovi.
- Nastaví WS-Management na
\<localhost|computername\>\Client\Auth\CredSSPtrue. - Nastaví zásadu Windows CredSSP AllowFreshCredentials na WSMan/Delegate v klientovi.
Pokud zadáte Server, provedou se následující akce. Toto nastavení zásad umožňuje serveru jednat jako delegát pro klienty.
- Povolí credSSP na serveru.
- Nastaví WS-Management na
\<localhost|computername\>\Service\Auth\CredSSPtrue.
| Type: | String |
| Accepted values: | Client, Server |
| Position: | 0 |
| Default value: | None |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
Vstupy
None
Do této rutiny nemůžete připojit objekty.
Výstupy
Pokud je ověřování CredSSP úspěšně povolené, vrátí tato rutina objekt XMLElement .
Poznámky
Pokud chcete zakázat ověřování CredSSP, použijte rutinu Disable-WSManCredSSP .
Související odkazy
Váš názor
Odeslat a zobrazit názory pro