Enable-WSManCredSSP

Mengaktifkan autentikasi Penyedia Dukungan Keamanan Kredensial (CredSSP) pada komputer.

Sintaks

Enable-WSManCredSSP
      [[-DelegateComputer] <String[]>]
      [-Force]
      [-Role] <String>
      [<CommonParameters>]

Deskripsi

Cmdlet ini hanya tersedia di platform Windows.

Enable-WSManCredSSP Cmdlet memungkinkan autentikasi CredSSP pada klien atau di komputer server. Ketika autentikasi CredSSP digunakan, kredensial pengguna diteruskan ke komputer jarak jauh untuk diautentikasi. Jenis autentikasi ini dirancang untuk perintah yang membuat sesi jarak jauh dari sesi jarak jauh lainnya. Misalnya, jika Anda ingin menjalankan pekerjaan latar belakang di komputer jarak jauh, gunakan autentikasi semacam ini.

Enable-WSManCredSSP dapat mengaktifkan CredSSP pada Klien atau Server. Untuk mengaktifkan CredSSP pada klien, tentukan Klien dalam parameter Peran . Klien mendelegasikan kredensial eksplisit ke server saat autentikasi server tercapai. Untuk mengaktifkan CredSSP di server, tentukan Server dalam parameter Peran . Server bertindak sebagai delegasi untuk klien. Untuk detail selengkapnya, lihat Peran di bagian Parameter.

Perhatian

Autentikasi CredSSP mendelegasikan kredensial pengguna dari komputer lokal ke komputer jarak jauh. Praktik ini meningkatkan risiko keamanan operasi jarak jauh. Jika komputer jarak jauh disusupi, ketika kredensial diteruskan ke komputer jarak jauh, kredensial dapat digunakan untuk mengontrol sesi jaringan.

Contoh

Contoh 1: Mendelegasikan kredensial klien

Contoh ini memungkinkan kredensial klien didelegasikan ke komputer dengan menggunakan nama domain yang sepenuhnya memenuhi syarat.

Enable-WSManCredSSP -Role "Client" -DelegateComputer "Server02.fabrikam.com"

cfg         : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

Contoh 2: Mendelegasikan kredensial klien ke semua komputer dalam domain

Contoh ini memungkinkan kredensial klien didelegasikan ke semua komputer di domain fabrikam.com . Kartubebas tanda bintang (*) menentukan semua komputer.

Catatan

Menggunakan kartubebas dengan parameter DelegateComputer dapat mengaktifkan CredSSP di lebih banyak komputer daripada yang diperlukan.

Enable-WSManCredSSP -Role "Client" -DelegateComputer "*.fabrikam.com"

cfg         : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

Contoh 3: Mendelegasikan kredensial klien ke beberapa komputer

Contoh ini memungkinkan kredensial klien didelegasikan ke beberapa komputer.

$servers = "server02.fabrikam.com", "server03.fabrikam.com", "server04.fabrikam.com"
Enable-WSManCredSSP -Role "Client" -DelegateComputer $servers

cfg         : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

Variabel $servers berisi daftar nama server. Enable-WSManCredSSP menggunakan parameter Peran untuk menentukan peran Klien . DelegateComputer mendapatkan nama komputer dari $servers variabel .

Contoh 4: Mengizinkan komputer untuk bertindak sebagai delegasi

Contoh ini memungkinkan komputer untuk bertindak sebagai delegasi untuk komputer lain. Enable-WSManCredSSP Cmdlet, yang ditunjukkan dalam contoh sebelumnya, hanya mengaktifkan autentikasi CredSSP pada klien, dan menentukan komputer jarak jauh yang dapat bertindak atas namanya. Agar komputer jarak jauh bertindak sebagai delegasi untuk klien, item CredSSP di simpul Layanan WSMan harus diatur ke true. Contoh ini mengatur item CredSSP di simpul Layanan WSMan ke true.

Enable-WSManCredSSP -Role "Server"

Contoh 5: Mengizinkan komputer untuk bertindak sebagai delegasi dengan menggunakan Set-Item

Contoh ini memungkinkan komputer untuk bertindak sebagai delegasi untuk komputer lain. Perintah Enable-WSManCredSSP , yang ditampilkan dalam contoh sebelumnya, mengaktifkan autentikasi CredSSP hanya di komputer klien, dan mereka menentukan komputer jarak jauh yang dapat bertindak atas nama komputer klien. Agar komputer jarak jauh bertindak sebagai delegasi untuk komputer klien, item CredSSP di direktori Layanan penyedia WSMan harus diatur ke true.

Connect-WSMan -ComputerName "server02"
Set-Item -Path "WSMan:\server02\service\auth\credSSP" -Value $True

Connect-WSMan membuat koneksi ke komputer jarak jauh, server02. Set-Item menggunakan parameter Jalur untuk menentukan lokasi penyedia WSMan . Parameter Nilai mengatur pengaturan Layanan ke true.

Parameter

-DelegateComputer

Menentukan server yang kredensial kliennya didelegasikan. Praktik terbaik adalah menggunakan nama domain yang sepenuhnya memenuhi syarat.

Wildcard diterima, tetapi dapat mengaktifkan CredSSP di lebih banyak komputer daripada yang diperlukan.

Jika parameter Peran adalah Klien, Anda harus menentukan parameter ini. Jika Peran adalah Server, jangan tentukan parameter ini.

Type:String[]
Position:1
Default value:None
Accept pipeline input:False
Accept wildcard characters:True

-Force

Memaksa perintah untuk berjalan tanpa meminta konfirmasi pengguna.

Type:SwitchParameter
Position:Named
Default value:False
Accept pipeline input:False
Accept wildcard characters:False

-Role

Menentukan apakah akan mengaktifkan CredSSP sebagai klien atau sebagai server. Nilai yang dapat diterima untuk parameter ini adalah: Klien dan Server.

Jika Anda menentukan Klien, tindakan berikut dilakukan. Pengaturan ini memungkinkan klien untuk mendelegasikan kredensial eksplisit ke server ketika autentikasi server tercapai.

  • Mengaktifkan CredSSP pada klien.
  • Mengatur pengaturan \<localhost|computername\>\Client\Auth\CredSSP WS-Management ke true.
  • Mengatur kebijakan Windows CredSSP AllowFreshCredentials ke WSMan/Delegasi pada klien.

Jika Anda menentukan Server, tindakan berikut dilakukan. Pengaturan kebijakan ini memungkinkan server untuk bertindak sebagai delegasi untuk klien.

  • Mengaktifkan CredSSP pada server.
  • Mengatur pengaturan \<localhost|computername\>\Service\Auth\CredSSP WS-Management ke true.
Type:String
Accepted values:Client, Server
Position:0
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

Input

None

Cmdlet ini tidak menerima input apa pun.

Output

XmlElement

Jika autentikasi CredSSP berhasil diaktifkan, cmdlet ini menghasilkan objek XMLElement .

Catatan

Untuk menonaktifkan autentikasi CredSSP, gunakan Disable-WSManCredSSP cmdlet .