Enable-WSManCredSSP
Abilita l'autenticazione credSSP (Credential Security Support Provider) in un computer.
Sintassi
Enable-WSManCredSSP
[[-DelegateComputer] <String[]>]
[-Force]
[-Role] <String>
[<CommonParameters>]
Descrizione
Questo cmdlet è disponibile solo nella piattaforma Windows.
Il Enable-WSManCredSSP
cmdlet abilita l'autenticazione CredSSP in un client o in un computer server.
Quando si usa l'autenticazione CredSSP, le credenziali utente vengono passate a un computer remoto da autenticare. Questo tipo di autenticazione è progettato per i comandi che creano una sessione remota da un'altra sessione remota. Ad esempio, se si vuole eseguire un processo in background in un computer remoto, usare questo tipo di autenticazione.
Enable-WSManCredSSP
può abilitare CredSSP in un client o in un server. Per abilitare CredSSP in un client, specificare Client nel parametro Role . I client delegano le credenziali esplicite a un server quando viene ottenuta l'autenticazione server. Per abilitare CredSSP in un server, specificare Server nel parametro Role . Un server funge da delegato per i client. Per altri dettagli, vedere Role nella sezione Parameters .For more details, see Role in the Parameters section.
Attenzione
L'autenticazione CredSSP delega le credenziali utente dal computer locale a un computer remoto. Questa pratica aumenta il rischio di sicurezza dell'operazione remota. Se il computer remoto viene compromesso, le credenziali che gli vengono passate possono essere usate per controllare la sessione di rete.
Esempio
Esempio 1: Delegare le credenziali client
Questo esempio consente di delegare le credenziali client a un computer usando il nome di dominio completo.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "Server02.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : true
Esempio 2: Delegare le credenziali client a tutti i computer in un dominio
Questo esempio consente di delegare le credenziali client a tutti i computer nel dominio fabrikam.com . Il carattere jolly asterisco (*
) specifica tutti i computer.
Nota
L'uso di caratteri jolly con il parametro DelegateComputer può abilitare CredSSP in più computer del necessario.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "*.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : true
Esempio 3: Delegare le credenziali client a più computer
Questo esempio consente di delegare le credenziali client a più computer.
$servers = "server02.fabrikam.com", "server03.fabrikam.com", "server04.fabrikam.com"
Enable-WSManCredSSP -Role "Client" -DelegateComputer $servers
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : true
La $servers
variabile contiene un elenco di nomi di server. Enable-WSManCredSSP
usa il parametro Role per specificare il ruolo client . DelegateComputer ottiene i nomi dei computer dalla $servers
variabile .
Esempio 4: Consentire a un computer di fungere da delegato
Questo esempio consente a un computer di fungere da delegato per un altro. Il Enable-WSManCredSSP
cmdlet, illustrato negli esempi precedenti, abilita solo l'autenticazione CredSSP nel client e specifica i computer remoti che possono agire per suo conto. Affinché il computer remoto funga da delegato per il client, l'elemento CredSSP nel nodo Servizio di WSMan deve essere impostato su true. Questo esempio imposta l'elemento CredSSP nel nodo Servizio di WSMan su true.
Enable-WSManCredSSP -Role "Server"
Esempio 5: Consentire a un computer di fungere da delegato usando Set-Item
Questo esempio consente a un computer di fungere da delegato per un altro computer. I Enable-WSManCredSSP
comandi, illustrati negli esempi precedenti, abilitano l'autenticazione CredSSP solo nel computer client e specificano i computer remoti che possono agire per conto del computer client. Affinché il computer remoto agisca come un delegato per il computer client, l'elemento CredSSP nella directory Service del provider WS-Management deve essere impostato su True.
Connect-WSMan -ComputerName "server02"
Set-Item -Path "WSMan:\server02\service\auth\credSSP" -Value $True
Connect-WSMan
crea una connessione al computer remoto server02. Set-Item
usa il parametro Path per specificare il percorso del provider WSMan . Il parametro Value imposta l'impostazione Service su true.
Parametri
-DelegateComputer
Specifica i server a cui vengono delegate le credenziali client. La procedura consigliata consiste nell'usare nomi di dominio completi.
I caratteri jolly vengono accettati, ma possono abilitare CredSSP in più computer del necessario.
Se il parametro Role è Client, è necessario specificare questo parametro. Se Role è Server, non specificare questo parametro.
Tipo: | String[] |
Posizione: | 1 |
Valore predefinito: | None |
Necessario: | False |
Accettare l'input della pipeline: | False |
Accettare caratteri jolly: | True |
-Force
Forza l'esecuzione del comando senza chiedere conferma all'utente.
Tipo: | SwitchParameter |
Posizione: | Named |
Valore predefinito: | False |
Necessario: | False |
Accettare l'input della pipeline: | False |
Accettare caratteri jolly: | False |
-Role
Specifica se abilitare CredSSP come client o come server. I valori accettabili per questo parametro sono: Client e Server.
Se si specifica Client, vengono eseguite le azioni seguenti. Queste impostazioni consentono al client di delegare le credenziali esplicite a un server quando viene eseguita l'autenticazione server.
- Abilita CredSSP nel client.
- Imposta l'impostazione
\<localhost|computername\>\Client\Auth\CredSSP
WS-Management su true. - Imposta i criteri di Windows CredSSP AllowFreshCredentials su WSMan/Delegate nel client.
Se si specifica Server, vengono eseguite le azioni seguenti. Questa impostazione consente al server di agire come un delegato per i client.
- Abilita CredSSP nel server.
- Imposta l'impostazione
\<localhost|computername\>\Service\Auth\CredSSP
WS-Management su true.
Tipo: | String |
Valori accettati: | Client, Server |
Posizione: | 0 |
Valore predefinito: | None |
Necessario: | True |
Accettare l'input della pipeline: | False |
Accettare caratteri jolly: | False |
Input
None
Non è possibile inviare tramite pipe oggetti a questo cmdlet.
Output
Se l'autenticazione CredSSP è abilitata correttamente, questo cmdlet restituisce un oggetto XMLElement .
Note
Per disabilitare l'autenticazione CredSSP, usare il Disable-WSManCredSSP
cmdlet .