Enable-WSManCredSSP
Mengaktifkan autentikasi Penyedia Dukungan Keamanan Kredensial (CredSSP) pada komputer.
Sintaks
Enable-WSManCredSSP
[[-DelegateComputer] <String[]>]
[-Force]
[-Role] <String>
[<CommonParameters>] Deskripsi
Cmdlet ini hanya tersedia di platform Windows.
Cmdlet Enable-WSManCredSSP memungkinkan autentikasi CredSSP pada klien atau di komputer server.
Ketika autentikasi CredSSP digunakan, kredensial pengguna diteruskan ke komputer jarak jauh untuk diautentikasi. Jenis autentikasi ini dirancang untuk perintah yang membuat sesi jarak jauh dari sesi jarak jauh lainnya. Misalnya, jika Anda ingin menjalankan pekerjaan latar belakang di komputer jarak jauh, gunakan jenis autentikasi ini.
Enable-WSManCredSSP dapat mengaktifkan CredSSP pada Klien atau Server. Untuk mengaktifkan CredSSP pada klien, tentukan Klien dalam parameter Peran. Klien mendelegasikan kredensial eksplisit ke server saat autentikasi server tercapai. Untuk mengaktifkan CredSSP di server, tentukan Server di parameter Peran. Server bertindak sebagai delegasi untuk klien. Untuk detail selengkapnya, lihat Peran di bagian Parameter.
Hati
Autentikasi CredSSP mendelegasikan kredensial pengguna dari komputer lokal ke komputer jarak jauh. Praktik ini meningkatkan risiko keamanan operasi jarak jauh. Jika komputer jarak jauh disusupi, ketika kredensial diteruskan ke komputer jarak jauh, kredensial dapat digunakan untuk mengontrol sesi jaringan.
Contoh
Contoh 1: Mendelegasikan kredensial klien
Contoh ini memungkinkan kredensial klien didelegasikan ke komputer dengan menggunakan nama domain yang sepenuhnya memenuhi syarat.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "Server02.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueContoh 2: Mendelegasikan kredensial klien ke semua komputer dalam domain
Contoh ini memungkinkan kredensial klien didelegasikan ke semua komputer di domain fabrikam.com. Kartubebas tanda bintang (*) menentukan semua komputer.
Nota
Menggunakan wildcard dengan parameter DelegateComputer dapat mengaktifkan CredSSP di lebih banyak komputer daripada yang diperlukan.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "*.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueContoh 3: Mendelegasikan kredensial klien ke beberapa komputer
Contoh ini memungkinkan kredensial klien didelegasikan ke beberapa komputer.
$servers = "server02.fabrikam.com", "server03.fabrikam.com", "server04.fabrikam.com"
Enable-WSManCredSSP -Role "Client" -DelegateComputer $servers
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueVariabel $servers berisi daftar nama server.
Enable-WSManCredSSP menggunakan parameter Peran untuk menentukan peran Klien.
Delegasi mendapatkan nama komputer dari variabel $servers.
Contoh 4: Mengizinkan komputer bertindak sebagai delegasi
Contoh ini memungkinkan komputer bertindak sebagai delegasi untuk komputer lain. cmdlet Enable-WSManCredSSP, yang ditunjukkan dalam contoh sebelumnya, hanya mengaktifkan autentikasi CredSSP pada klien, dan menentukan komputer jarak jauh yang dapat bertindak atas namanya. Agar komputer jarak jauh bertindak sebagai delegasi untuk klien, item CredSSP di node Service WSMan harus diatur ke true. Contoh ini mengatur item CredSSP di simpul Layanan WSMan ke true.
Enable-WSManCredSSP -Role "Server"Contoh 5: Izinkan komputer bertindak sebagai delegasi dengan menggunakan Set-Item
Contoh ini memungkinkan komputer bertindak sebagai delegasi untuk komputer lain. Perintah Enable-WSManCredSSP, yang ditunjukkan dalam contoh sebelumnya, mengaktifkan autentikasi CredSSP hanya di komputer klien, dan mereka menentukan komputer jarak jauh yang dapat bertindak atas nama komputer klien. Agar komputer jarak jauh bertindak sebagai delegasi untuk komputer klien, item CredSSP di direktori Layanan penyedia WSMan harus diatur ke true.
Connect-WSMan -ComputerName "server02"
Set-Item -Path "WSMan:\server02\service\auth\credSSP" -Value $true
Connect-WSMan membuat koneksi ke komputer jarak jauh, server02.
Set-Item menggunakan parameter Jalur untuk menentukan lokasi penyedia WSMan. Parameter Nilai mengatur pengaturan Layanan ke true.
Parameter
-DelegateComputer
Menentukan server yang kredensial kliennya didelegasikan. Praktik terbaik adalah menggunakan nama domain yang sepenuhnya memenuhi syarat.
Kartubebas diterima, tetapi dapat mengaktifkan CredSSP di lebih banyak komputer daripada yang diperlukan.
Jika parameter PeranKlien, Anda harus menentukan parameter ini. Jika PeranServer, jangan tentukan parameter ini.
| Jenis: | String[] |
| Position: | 1 |
| Nilai default: | None |
| Diperlukan: | False |
| Terima input alur: | False |
| Terima karakter wildcard: | True |
-Force
Memaksa perintah untuk dijalankan tanpa meminta konfirmasi pengguna.
| Jenis: | SwitchParameter |
| Position: | Named |
| Nilai default: | False |
| Diperlukan: | False |
| Terima input alur: | False |
| Terima karakter wildcard: | False |
-Role
Menentukan apakah akan mengaktifkan CredSSP sebagai klien atau sebagai server. Nilai yang dapat diterima untuk parameter ini adalah: Klien dan Server.
Jika Anda menentukan Klien , tindakan berikut dilakukan. Pengaturan ini memungkinkan klien untuk mendelegasikan kredensial eksplisit ke server saat autentikasi server tercapai.
- Mengaktifkan CredSSP pada klien.
- Mengatur pengaturan WS-Management
\<localhost|computername\>\Client\Auth\CredSSPke true. - Mengatur kebijakan Windows CredSSP AllowFreshCredentials ke WSMan/Delegasikan pada klien.
Jika Anda menentukan Server, tindakan berikut dilakukan. Pengaturan kebijakan ini memungkinkan server untuk bertindak sebagai delegasi untuk klien.
- Mengaktifkan CredSSP di server.
- Mengatur pengaturan WS-Management
\<localhost|computername\>\Service\Auth\CredSSPke true.
| Jenis: | String |
| Nilai yang diterima: | Client, Server |
| Position: | 0 |
| Nilai default: | None |
| Diperlukan: | True |
| Terima input alur: | False |
| Terima karakter wildcard: | False |
Input
None
Anda tidak dapat menyalurkan objek ke cmdlet ini.
Output
Jika autentikasi CredSSP berhasil diaktifkan, cmdlet ini mengembalikan objek XMLElement.
Catatan
Untuk menonaktifkan autentikasi CredSSP, gunakan cmdlet Disable-WSManCredSSP.
