Enable-WSManCredSSP
Mengaktifkan autentikasi Penyedia Dukungan Keamanan Kredensial (CredSSP) pada komputer.
Sintaks
Enable-WSManCredSSP
[[-DelegateComputer] <String[]>]
[-Force]
[-Role] <String>
[<CommonParameters>] Deskripsi
Cmdlet ini hanya tersedia di platform Windows.
Enable-WSManCredSSP Cmdlet memungkinkan autentikasi CredSSP pada klien atau di komputer server.
Ketika autentikasi CredSSP digunakan, kredensial pengguna diteruskan ke komputer jarak jauh untuk diautentikasi. Jenis autentikasi ini dirancang untuk perintah yang membuat sesi jarak jauh dari sesi jarak jauh lainnya. Misalnya, jika Anda ingin menjalankan pekerjaan latar belakang di komputer jarak jauh, gunakan jenis autentikasi ini.
Enable-WSManCredSSP dapat mengaktifkan CredSSP pada Klien atau Server. Untuk mengaktifkan CredSSP pada klien, tentukan Klien dalam parameter Peran . Klien mendelegasikan kredensial eksplisit ke server saat autentikasi server tercapai. Untuk mengaktifkan CredSSP di server, tentukan Server di parameter Peran . Server bertindak sebagai delegasi untuk klien. Untuk detail selengkapnya, lihat Peran di bagian Parameter.
Perhatian
Autentikasi CredSSP mendelegasikan kredensial pengguna dari komputer lokal ke komputer jarak jauh. Praktik ini meningkatkan risiko keamanan operasi jarak jauh. Jika komputer jarak jauh disusupi, ketika kredensial diteruskan ke komputer jarak jauh, kredensial dapat digunakan untuk mengontrol sesi jaringan.
Contoh
Contoh 1: Mendelegasikan kredensial klien
Contoh ini memungkinkan kredensial klien didelegasikan ke komputer dengan menggunakan nama domain yang sepenuhnya memenuhi syarat.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "Server02.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueContoh 2: Mendelegasikan kredensial klien ke semua komputer dalam domain
Contoh ini memungkinkan kredensial klien didelegasikan ke semua komputer di domain fabrikam.com . Kartubebas tanda bintang (*) menentukan semua komputer.
Catatan
Menggunakan wildcard dengan parameter DelegateComputer dapat mengaktifkan CredSSP di lebih banyak komputer daripada yang diperlukan.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "*.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueContoh 3: Mendelegasikan kredensial klien ke beberapa komputer
Contoh ini memungkinkan kredensial klien didelegasikan ke beberapa komputer.
$servers = "server02.fabrikam.com", "server03.fabrikam.com", "server04.fabrikam.com"
Enable-WSManCredSSP -Role "Client" -DelegateComputer $servers
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueVariabel $servers berisi daftar nama server. Enable-WSManCredSSPmenggunakan parameter Peran untuk menentukan peran Klien. DelegateComputer mendapatkan nama komputer dari $servers variabel.
Contoh 4: Mengizinkan komputer bertindak sebagai delegasi
Contoh ini memungkinkan komputer bertindak sebagai delegasi untuk komputer lain. Enable-WSManCredSSP Cmdlet, yang ditunjukkan dalam contoh sebelumnya, hanya mengaktifkan autentikasi CredSSP pada klien, dan menentukan komputer jarak jauh yang dapat bertindak atas namanya. Agar komputer jarak jauh bertindak sebagai delegasi untuk klien, item CredSSP di node Layanan WSMan harus diatur ke true. Contoh ini mengatur item CredSSP di simpul Layanan WSMan ke true.
Enable-WSManCredSSP -Role "Server"Contoh 5: Izinkan komputer bertindak sebagai delegasi dengan menggunakan Set-Item
Contoh ini memungkinkan komputer bertindak sebagai delegasi untuk komputer lain. Perintah Enable-WSManCredSSP , yang ditampilkan dalam contoh sebelumnya, mengaktifkan autentikasi CredSSP hanya di komputer klien, dan mereka menentukan komputer jarak jauh yang dapat bertindak atas nama komputer klien. Agar komputer jarak jauh bertindak sebagai delegasi untuk komputer klien, item CredSSP di direktori Layanan penyedia WSMan harus diatur ke true.
Connect-WSMan -ComputerName "server02"
Set-Item -Path "WSMan:\server02\service\auth\credSSP" -Value $TrueConnect-WSMan membuat koneksi ke komputer jarak jauh, server02. Set-Itemmenggunakan parameter Jalur untuk menentukan lokasi penyedia WSMan. Parameter Nilai mengatur pengaturan Layanan ke true.
Parameter
-DelegateComputer
Menentukan server yang kredensial kliennya didelegasikan. Praktik terbaik adalah menggunakan nama domain yang sepenuhnya memenuhi syarat.
Kartubebas diterima, tetapi dapat mengaktifkan CredSSP di lebih banyak komputer daripada yang diperlukan.
Jika parameter Peran adalah Klien, Anda harus menentukan parameter ini. Jika Peran adalah Server, jangan tentukan parameter ini.
| Jenis: | String[] |
| Position: | 1 |
| Nilai default: | None |
| Diperlukan: | False |
| Terima input alur: | False |
| Terima karakter wildcard: | True |
-Force
Memaksa perintah untuk dijalankan tanpa meminta konfirmasi pengguna.
| Jenis: | SwitchParameter |
| Position: | Named |
| Nilai default: | False |
| Diperlukan: | False |
| Terima input alur: | False |
| Terima karakter wildcard: | False |
-Role
Menentukan apakah akan mengaktifkan CredSSP sebagai klien atau sebagai server. Nilai yang dapat diterima untuk parameter ini adalah: Klien dan Server.
Jika Anda menentukan Klien, tindakan berikut dilakukan. Pengaturan ini memungkinkan klien untuk mendelegasikan kredensial eksplisit ke server saat autentikasi server tercapai.
- Mengaktifkan CredSSP pada klien.
- Mengatur pengaturan
\<localhost|computername\>\Client\Auth\CredSSPWS-Management ke true. - Mengatur kebijakan Windows CredSSP AllowFreshCredentials ke WSMan/Delegasi pada klien.
Jika Anda menentukan Server, tindakan berikut dilakukan. Pengaturan kebijakan ini memungkinkan server untuk bertindak sebagai delegasi untuk klien.
- Mengaktifkan CredSSP di server.
- Mengatur pengaturan
\<localhost|computername\>\Service\Auth\CredSSPWS-Management ke true.
| Jenis: | String |
| Nilai yang diterima: | Client, Server |
| Position: | 0 |
| Nilai default: | None |
| Diperlukan: | True |
| Terima input alur: | False |
| Terima karakter wildcard: | False |
Input
None
Anda tidak dapat menyalurkan objek ke cmdlet ini.
Output
Jika autentikasi CredSSP berhasil diaktifkan, cmdlet ini mengembalikan objek XMLElement .
Catatan
Untuk menonaktifkan autentikasi CredSSP, gunakan Disable-WSManCredSSP cmdlet .
