Condividi tramite


Enable-WSManCredSSP

Abilita l'autenticazione credSSP (Credential Security Support Provider) in un computer.

Sintassi

Enable-WSManCredSSP
      [[-DelegateComputer] <String[]>]
      [-Force]
      [-Role] <String>
      [<CommonParameters>]

Descrizione

Questo cmdlet è disponibile solo nella piattaforma Windows.

Il Enable-WSManCredSSP cmdlet abilita l'autenticazione CredSSP in un client o in un computer server. Quando si usa l'autenticazione CredSSP, le credenziali utente vengono passate a un computer remoto da autenticare. Questo tipo di autenticazione è progettato per i comandi che creano una sessione remota da un'altra sessione remota. Ad esempio, se si vuole eseguire un processo in background in un computer remoto, usare questo tipo di autenticazione.

Enable-WSManCredSSP può abilitare CredSSP in un client o in un server. Per abilitare CredSSP in un client, specificare Client nel parametro Role . I client delegano le credenziali esplicite a un server quando viene ottenuta l'autenticazione server. Per abilitare CredSSP in un server, specificare Server nel parametro Role . Un server funge da delegato per i client. Per altri dettagli, vedere Role nella sezione Parameters .For more details, see Role in the Parameters section.

Attenzione

L'autenticazione CredSSP delega le credenziali utente dal computer locale a un computer remoto. Questa pratica aumenta il rischio di sicurezza dell'operazione remota. Se il computer remoto viene compromesso, le credenziali che gli vengono passate possono essere usate per controllare la sessione di rete.

Esempio

Esempio 1: Delegare le credenziali client

Questo esempio consente di delegare le credenziali client a un computer usando il nome di dominio completo.

Enable-WSManCredSSP -Role "Client" -DelegateComputer "Server02.fabrikam.com"

cfg         : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

Esempio 2: Delegare le credenziali client a tutti i computer in un dominio

Questo esempio consente di delegare le credenziali client a tutti i computer nel dominio fabrikam.com . Il carattere jolly asterisco (*) specifica tutti i computer.

Nota

L'uso di caratteri jolly con il parametro DelegateComputer può abilitare CredSSP in più computer del necessario.

Enable-WSManCredSSP -Role "Client" -DelegateComputer "*.fabrikam.com"

cfg         : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

Esempio 3: Delegare le credenziali client a più computer

Questo esempio consente di delegare le credenziali client a più computer.

$servers = "server02.fabrikam.com", "server03.fabrikam.com", "server04.fabrikam.com"
Enable-WSManCredSSP -Role "Client" -DelegateComputer $servers

cfg         : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

La $servers variabile contiene un elenco di nomi di server. Enable-WSManCredSSP usa il parametro Role per specificare il ruolo client . DelegateComputer ottiene i nomi dei computer dalla $servers variabile .

Esempio 4: Consentire a un computer di fungere da delegato

Questo esempio consente a un computer di fungere da delegato per un altro. Il Enable-WSManCredSSP cmdlet, illustrato negli esempi precedenti, abilita solo l'autenticazione CredSSP nel client e specifica i computer remoti che possono agire per suo conto. Affinché il computer remoto funga da delegato per il client, l'elemento CredSSP nel nodo Servizio di WSMan deve essere impostato su true. Questo esempio imposta l'elemento CredSSP nel nodo Servizio di WSMan su true.

Enable-WSManCredSSP -Role "Server"

Esempio 5: Consentire a un computer di fungere da delegato usando Set-Item

Questo esempio consente a un computer di fungere da delegato per un altro computer. I Enable-WSManCredSSP comandi, illustrati negli esempi precedenti, abilitano l'autenticazione CredSSP solo nel computer client e specificano i computer remoti che possono agire per conto del computer client. Affinché il computer remoto agisca come un delegato per il computer client, l'elemento CredSSP nella directory Service del provider WS-Management deve essere impostato su True.

Connect-WSMan -ComputerName "server02"
Set-Item -Path "WSMan:\server02\service\auth\credSSP" -Value $True

Connect-WSMan crea una connessione al computer remoto server02. Set-Item usa il parametro Path per specificare il percorso del provider WSMan . Il parametro Value imposta l'impostazione Service su true.

Parametri

-DelegateComputer

Specifica i server a cui vengono delegate le credenziali client. La procedura consigliata consiste nell'usare nomi di dominio completi.

I caratteri jolly vengono accettati, ma possono abilitare CredSSP in più computer del necessario.

Se il parametro Role è Client, è necessario specificare questo parametro. Se Role è Server, non specificare questo parametro.

Tipo:String[]
Posizione:1
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:True

-Force

Forza l'esecuzione del comando senza chiedere conferma all'utente.

Tipo:SwitchParameter
Posizione:Named
Valore predefinito:False
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False

-Role

Specifica se abilitare CredSSP come client o come server. I valori accettabili per questo parametro sono: Client e Server.

Se si specifica Client, vengono eseguite le azioni seguenti. Queste impostazioni consentono al client di delegare le credenziali esplicite a un server quando viene eseguita l'autenticazione server.

  • Abilita CredSSP nel client.
  • Imposta l'impostazione \<localhost|computername\>\Client\Auth\CredSSP WS-Management su true.
  • Imposta i criteri di Windows CredSSP AllowFreshCredentials su WSMan/Delegate nel client.

Se si specifica Server, vengono eseguite le azioni seguenti. Questa impostazione consente al server di agire come un delegato per i client.

  • Abilita CredSSP nel server.
  • Imposta l'impostazione \<localhost|computername\>\Service\Auth\CredSSP WS-Management su true.
Tipo:String
Valori accettati:Client, Server
Posizione:0
Valore predefinito:None
Necessario:True
Accettare l'input della pipeline:False
Accettare caratteri jolly:False

Input

None

Non è possibile inviare tramite pipe oggetti a questo cmdlet.

Output

XmlElement

Se l'autenticazione CredSSP è abilitata correttamente, questo cmdlet restituisce un oggetto XMLElement .

Note

Per disabilitare l'autenticazione CredSSP, usare il Disable-WSManCredSSP cmdlet .