Enable-WSManCredSSP
Aktiviert die Authentifizierung des Credential Security Support Provider (CredSSP) auf einem Computer.
Syntax
Enable-WSManCredSSP
[[-DelegateComputer] <String[]>]
[-Force]
[-Role] <String>
[<CommonParameters>] Beschreibung
Dieses Cmdlet ist nur auf der Windows-Plattform verfügbar.
Das Enable-WSManCredSSP Cmdlet aktiviert die CredSSP-Authentifizierung auf einem Client oder auf einem Servercomputer.
Wenn die CredSSP-Authentifizierung verwendet wird, werden die Benutzeranmeldeinformationen an einen Remotecomputer übergeben, der authentifiziert werden soll. Dieser Authentifizierungstyp wurde für Befehle entwickelt, die eine Remotesitzung aus einer anderen Remotesitzung erstellen. Wenn Sie beispielsweise einen Hintergrundauftrag auf einem Remotecomputer ausführen möchten, verwenden Sie diese Art von Authentifizierung.
Enable-WSManCredSSP kann CredSSP auf einem Client oder einem Server aktivieren. Um CredSSP auf einem Client zu aktivieren, geben Sie den Client im Role-Parameter an. Clients delegieren explizite Anmeldeinformationen an einen Server, wenn die Serverauthentifizierung erreicht wird. Um CredSSP auf einem Server zu aktivieren, geben Sie den Server im Role-Parameter an. Ein Server fungiert als Stellvertretung für Clients. Weitere Details finden Sie im Abschnitt "Parameter" unter "Rolle ".
Achtung
Die CredSSP-Authentifizierung delegiert die Benutzeranmeldeinformationen vom lokalen Computer an einen Remotecomputer. Dieser Vorgang erhöht das Sicherheitsrisiko des Remotevorgangs. Wenn die Sicherheit des Remotecomputers gefährdet ist, während Anmeldeinformationen an ihn übergeben werden, können die Anmeldeinformationen zum Steuern der Netzwerksitzung verwendet werden.
Beispiele
Beispiel 1: Delegieren von Clientanmeldeinformationen
In diesem Beispiel können die Clientanmeldeinformationen mithilfe des vollqualifizierten Do Standard namens an einen Computer delegiert werden.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "Server02.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueBeispiel 2: Delegieren von Clientanmeldeinformationen an alle Computer in einer Aufgabe Standard
In diesem Beispiel können die Clientanmeldeinformationen an alle Computer in der fabrikam.com delegiert werden Standard. Das Sternchen (*) wild Karte gibt alle Computer an.
Hinweis
Die Verwendung von Wild Karte mit dem Parameter DelegateComputer kann CredSSP auf mehr Computern als erforderlich aktivieren.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "*.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueBeispiel 3: Delegieren von Clientanmeldeinformationen an mehrere Computer
In diesem Beispiel können die Clientanmeldeinformationen an mehrere Computer delegiert werden.
$servers = "server02.fabrikam.com", "server03.fabrikam.com", "server04.fabrikam.com"
Enable-WSManCredSSP -Role "Client" -DelegateComputer $servers
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueDie $servers Variable enthält eine Liste von Servernamen. Enable-WSManCredSSP verwendet den Role-Parameter , um die Clientrolle anzugeben. Der DelegateComputer ruft die Computernamen aus der $servers Variablen ab.
Beispiel 4: Zulassen, dass ein Computer als Stellvertretung fungiert
In diesem Beispiel kann ein Computer als Stellvertretung für eine andere fungieren. Das Enable-WSManCredSSP cmdlet, das in den früheren Beispielen gezeigt wird, aktiviert nur die CredSSP-Authentifizierung auf dem Client und gibt die Remotecomputer an, die in seinem Auftrag handeln können. Damit der Remotecomputer als Stellvertretung für den Client fungiert, muss das CredSSP-Element im Dienstknoten von WSMan auf "true" festgelegt sein. In diesem Beispiel wird das CredSSP-Element im Dienstknoten von WSMan auf "true" festgelegt.
Enable-WSManCredSSP -Role "Server"Beispiel 5: Zulassen, dass ein Computer mithilfe von Set-Item als Stellvertretung fungiert
In diesem Beispiel kann ein Computer als Stellvertretung für einen anderen Computer fungieren. Die Enable-WSManCredSSP befehle, die in den früheren Beispielen gezeigt werden, aktivieren die CredSSP-Authentifizierung nur auf dem Clientcomputer, und sie geben die Remotecomputer an, die im Auftrag des Clientcomputers handeln können. Damit der Remotecomputer als Delegat für den Clientcomputer fungieren kann, muss das CredSSP-Element im Dienstverzeichnis des WSMan-Anbieters auf „True“ festgelegt werden.
Connect-WSMan -ComputerName "server02"
Set-Item -Path "WSMan:\server02\service\auth\credSSP" -Value $TrueConnect-WSMan erstellt eine Verbindung mit dem Remotecomputer server02. Set-Item verwendet den Path-Parameter , um den Speicherort des WSMan-Anbieters anzugeben. Der Parameter Value legt die Diensteinstellung auf "true" fest.
Parameter
-DelegateComputer
Gibt Server an, an die Clientanmeldeinformationen delegiert werden. Die bewährte Methode besteht darin, vollqualifizierte Do Standard Namen zu verwenden.
Wild Karte s werden akzeptiert, können credSSP jedoch auf mehr Computern als erforderlich aktivieren.
Wenn der Role-Parameter "Client" lautet, müssen Sie diesen Parameter angeben. Wenn "Role" der Server ist, geben Sie diesen Parameter nicht an.
| Type: | String[] |
| Position: | 1 |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | True |
-Force
Erzwingt die Ausführung des Befehls ohne Aufforderung zur Bestätigung durch den Benutzer.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | False |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-Role
Gibt an, ob CredSSP als Client oder server aktiviert werden soll. Die zulässigen Werte für diesen Parameter sind: Client und Server.
Wenn Sie Client angeben, werden die folgenden Aktionen ausgeführt. Diese Einstellungen ermöglichen es dem Client, nach erfolgreicher Serverauthentifizierung explizite Anmeldeinformationen an einen Server zu delegieren.
- Aktiviert CredSSP auf dem Client.
- Legt die WS-Management-Einstellung
\<localhost|computername\>\Client\Auth\CredSSPauf "true" fest. - Legt die Windows CredSSP-Richtlinie AllowFreshCredentials auf WSMan/Delegate auf dem Client fest.
Wenn Sie Server angeben, werden die folgenden Aktionen ausgeführt. Durch diese Richtlinieneinstellung kann der Server als Delegat für Clients fungieren.
- Aktiviert CredSSP auf dem Server.
- Legt die WS-Management-Einstellung
\<localhost|computername\>\Service\Auth\CredSSPauf "true" fest.
| Type: | String |
| Accepted values: | Client, Server |
| Position: | 0 |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
Eingaben
None
Sie können keine Objekte an dieses Cmdlet weiterleiten.
Ausgaben
Wenn die CredSSP-Authentifizierung erfolgreich aktiviert ist, gibt dieses Cmdlet ein XMLElement-Objekt zurück.
Hinweise
Verwenden Sie das Cmdlet, um die Disable-WSManCredSSP CredSSP-Authentifizierung zu deaktivieren.
Ähnliche Themen
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für