Enable-WSManCredSSP

Povolí v počítači ověřování zprostředkovatele podpory zabezpečení přihlašovacích údajů (CredSSP).

Syntax

Enable-WSManCredSSP
      [[-DelegateComputer] <String[]>]
      [-Force]
      [-Role] <String>
      [<CommonParameters>]

Description

Tato rutina je dostupná jenom na platformě Windows.

Rutina Enable-WSManCredSSP povolí ověřování CredSSP na klientovi nebo na serverovém počítači. Při použití ověřování CredSSP se přihlašovací údaje uživatele předávají vzdálenému počítači, který se má ověřit. Tento typ ověřování je určený pro příkazy, které vytvoří vzdálenou relaci z jiné vzdálené relace. Pokud například chcete spustit úlohu na pozadí na vzdáleném počítači, použijte tento druh ověřování.

Enable-WSManCredSSPmůže povolit CredSSP na klientovi nebo serveru. Chcete-li v klientovi povolit CredSSP, zadejte v parametru role klienta. Klienti deleguje explicitní přihlašovací údaje na server, když se dosáhne ověření serveru. Pokud chcete na serveru povolit CredSSP, zadejte server v parametru role . Server funguje jako delegát pro klienty. Další podrobnosti najdete v části Parametry role.

Upozornění

Ověřování CredSSP deleguje přihlašovací údaje uživatele z místního počítače na vzdálený počítač. Tento postup zvyšuje riziko zabezpečení vzdálené operace. Pokud dojde k ohrožení zabezpečení vzdáleného počítače, lze při předání přihlašovacích údajů použít k řízení síťové relace.

Příklady

Příklad 1: Delegování přihlašovacích údajů klienta

Tento příklad umožňuje delegovat přihlašovací údaje klienta do počítače pomocí plně kvalifikovaného názvu domény.

Enable-WSManCredSSP -Role "Client" -DelegateComputer "Server02.fabrikam.com"

cfg         : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

Příklad 2: Delegování přihlašovacích údajů klienta na všechny počítače v doméně

Tento příklad umožňuje delegovat přihlašovací údaje klienta na všechny počítače v fabrikam.com doméně. Zástupný znak hvězdičky (*) určuje všechny počítače.

Poznámka:

Použití zástupných znaků s parametrem DelegateComputer může povolit CredSSP na více počítačích, než je potřeba.

Enable-WSManCredSSP -Role "Client" -DelegateComputer "*.fabrikam.com"

cfg         : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

Příklad 3: Delegování přihlašovacích údajů klienta na více počítačů

Tento příklad umožňuje delegovat přihlašovací údaje klienta do více počítačů.

$servers = "server02.fabrikam.com", "server03.fabrikam.com", "server04.fabrikam.com"
Enable-WSManCredSSP -Role "Client" -DelegateComputer $servers

cfg         : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

Proměnná $servers obsahuje seznam názvů serverů. Enable-WSManCredSSPpoužívá parametr role k určení role klienta. DelegateComputer získá názvy počítačů z $servers proměnné.

Příklad 4: Povolení, aby počítač fungoval jako delegát

Tento příklad umožňuje počítači jednat jako delegát pro jiný. Rutina Enable-WSManCredSSP uvedená v předchozích příkladech povoluje ověřování CredSSP pouze na klientovi a určuje vzdálené počítače, které mohou jednat jeho jménem. Aby vzdálený počítač fungoval jako delegát klienta, musí být položka CredSSP v uzlu služby wsMan nastavena na hodnotu true. Tento příklad nastaví položku CredSSP v uzlu služby WSMan na true.

Enable-WSManCredSSP -Role "Server"

Příklad 5: Povolení, aby počítač fungoval jako delegát pomocí set-Item

Tento příklad umožňuje, aby počítač fungoval jako delegát pro jiný počítač. Příkazy Enable-WSManCredSSP uvedené v předchozích příkladech umožňují ověřování CredSSP pouze na klientském počítači a určují vzdálené počítače, které mohou jednat jménem klientského počítače. Aby vzdálený počítač fungoval jako delegát klientského počítače, musí být položka CredSSP v adresáři služby zprostředkovatele WSMan nastavena na hodnotu true.

Connect-WSMan -ComputerName "server02"
Set-Item -Path "WSMan:\server02\service\auth\credSSP" -Value $True

Connect-WSMan vytvoří připojení ke vzdálenému počítači, server02. Set-Itempoužívá parametr Path k určení umístění zprostředkovatele WSMan. Parametr Value nastaví nastavení služby na hodnotu true.

Parametry

-DelegateComputer

Určuje servery, na které jsou delegovány přihlašovací údaje klienta. Osvědčeným postupem je použít plně kvalifikované názvy domén.

Zástupné znaky jsou přijímány, ale můžou povolit CredSSP na více počítačích, než je potřeba.

Pokud je parametr role Klient, je nutné zadat tento parametr. Pokud je role Server, nezadávejte tento parametr.

Type:String[]
Position:1
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:True

-Force

Vynutí spuštění příkazu bez výzvy k potvrzení uživatele.

Type:SwitchParameter
Position:Named
Default value:False
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-Role

Určuje, jestli se má CredSSP povolit jako klient nebo jako server. Přijatelné hodnoty pro tento parametr jsou: Client a Server.

Pokud zadáte klienta, provede se následující akce. Tato nastavení umožňují klientovi delegovat explicitní přihlašovací údaje na server, když se dosáhne ověření serveru.

  • Povolí CredSSP v klientovi.
  • Nastaví nastavení \<localhost|computername\>\Client\Auth\CredSSP WS-Management na hodnotu true.
  • Nastaví zásadu Windows CredSSP AllowFreshCredentials na WSMan/Delegate v klientovi.

Pokud zadáte Server, provede se následující akce. Toto nastavení zásad umožňuje serveru fungovat jako delegát pro klienty.

  • Povolí CredSSP na serveru.
  • Nastaví nastavení \<localhost|computername\>\Service\Auth\CredSSP WS-Management na hodnotu true.
Type:String
Accepted values:Client, Server
Position:0
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False

Vstupy

None

Do této rutiny nemůžete roušit objekty.

Výstupy

XmlElement

Pokud je ověřování CredSSP úspěšně povolené, vrátí tato rutina objekt XMLElement .

Poznámky

Pokud chcete zakázat ověřování CredSSP, použijte tuto rutinu Disable-WSManCredSSP .