Enable-WSManCredSSP
コンピューターで資格情報セキュリティ サポート プロバイダー (CredSSP) 認証を有効にします。
構文
Enable-WSManCredSSP
[[-DelegateComputer] <String[]>]
[-Force]
[-Role] <String>
[<CommonParameters>]
説明
このコマンドレットは、Windows プラットフォームでのみ使用できます。
このコマンドレットは Enable-WSManCredSSP
、クライアントまたはサーバー コンピューターで CredSSP 認証を有効にします。
CredSSP 認証を使用すると、認証されるリモート コンピューターにユーザー資格情報が渡されます。 この種類の認証は、別のリモート セッションからリモート セッションを作成するコマンド用に設計されています。 たとえば、リモート コンピューターでバックグラウンド ジョブを実行する場合は、この種の認証を使用します。
Enable-WSManCredSSP
は、クライアントまたはサーバーで CredSSP を有効にすることができます。 クライアントで CredSSP を有効にするには、Role パラメーターで Client を指定します。 クライアントは、サーバー認証が実現されたときに、明示的な資格情報をサーバーに委任します。 サーバーで CredSSP を有効にするには、Role パラメーターで Server を指定します。 サーバーは、クライアントのデリゲートとして機能します。 詳細については、「パラメーター」セクションの「ロール」を参照してください。
注意
CredSSP 認証は、ローカル コンピューターからリモート コンピューターにユーザー資格情報を委任します。 そのため、リモート操作のセキュリティ リスクが高まります。 リモート コンピューターのセキュリティが低下している場合は、そのリモート コンピューターに渡された資格情報を使用してネットワーク セッションが制御される場合があります。
例
例 1: クライアント資格情報を委任する
この例では、完全修飾 doメイン 名を使用して、クライアント資格情報をコンピューターに委任できます。
Enable-WSManCredSSP -Role "Client" -DelegateComputer "Server02.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : true
例 2: do 内のすべてのコンピューターにクライアント資格情報を委任するメイン
この例では、クライアント資格情報を fabrikam.com のすべてのコンピューターに委任できますメイン。 アスタリスク (*
) wildカード はすべてのコンピューターを指定します。
Note
DelegateComputer パラメーターでワイルドカードを使用すると、必要以上に多くのコンピューターで CredSSP を有効にすることができます。
Enable-WSManCredSSP -Role "Client" -DelegateComputer "*.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : true
例 3: クライアント資格情報を複数のコンピューターに委任する
この例では、クライアント資格情報を複数のコンピューターに委任できます。
$servers = "server02.fabrikam.com", "server03.fabrikam.com", "server04.fabrikam.com"
Enable-WSManCredSSP -Role "Client" -DelegateComputer $servers
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : true
この変数には $servers
、サーバー名の一覧が含まれています。 Enable-WSManCredSSP
では、Role パラメーターを使用してクライアント ロールを指定します。 DelegateComputer は、変数からコンピューター名を$servers
取得します。
例 4: コンピューターが代理人として機能することを許可する
この例では、コンピューターが別のコンピューターの代理人として機能することを許可します。 前の例で示したコマンドレットは Enable-WSManCredSSP
、クライアントで CredSSP 認証のみを有効にし、その代わりに動作できるリモート コンピューターを指定します。 リモート コンピューターがクライアントのデリゲートとして機能するためには、WSMan のサービス ノードの CredSSP 項目を true に設定する必要があります。 次の使用例は、WSMan のサービス ノードの CredSSP 項目を true に設定します。
Enable-WSManCredSSP -Role "Server"
例 5: Set-Item を使用してコンピューターがデリゲートとして機能することを許可する
この例では、コンピューターが別のコンピューターの代理人として機能することを許可します。 前の例で示したコマンドは Enable-WSManCredSSP
、クライアント コンピューターでのみ CredSSP 認証を有効にし、クライアント コンピューターの代わりに動作できるリモート コンピューターを指定します。 リモート コンピューターがクライアント コンピューターの代理として動作するためには、WSMan プロバイダーの Service ディレクトリの CredSSP 項目を true に設定する必要があります。
Connect-WSMan -ComputerName "server02"
Set-Item -Path "WSMan:\server02\service\auth\credSSP" -Value $True
Connect-WSMan
は、リモート コンピューター server02 への接続を作成します。 Set-Item
では、Path パラメーターを使用して WSMan プロバイダーの場所を指定します。 Value パラメーターは、サービス設定を true に設定します。
パラメーター
-DelegateComputer
クライアント資格情報を委任するサーバーを指定します。 ベスト プラクティスは、完全修飾 doメイン 名を使用する方法です。
ワイルドカードは受け入れられますが、必要以上に多くのコンピューターで CredSSP を有効にすることができます。
Role パラメーターが Client の場合は、このパラメーターを指定する必要があります。 Role が Server の場合は、このパラメーターを指定しないでください。
Type: | String[] |
Position: | 1 |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | True |
-Force
ユーザーに確認せずに、直ちにコマンドを実行します。
Type: | SwitchParameter |
Position: | Named |
Default value: | False |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-Role
CredSSP をクライアントとして有効にするか、サーバーとして有効にするかを指定します。 このパラメーターに使用できる値は、 Client と Server です。
Client を指定すると、次のアクションが実行されます。 これらの設定では、サーバー認証が実行されるときに、クライアントがサーバーに明示的な資格情報を委任することが許可されます。
- クライアントで CredSSP を有効にします。
- WS-Management の設定を true に設定
\<localhost|computername\>\Client\Auth\CredSSP
します。 - Windows CredSSP ポリシー AllowFreshCredentials を クライアントの WSMan/Delegate に設定します。
サーバーを指定すると、次のアクションが実行されます。 このポリシー設定では、サーバーがクライアントの代理として動作することが許可されます。
- サーバーで CredSSP を有効にします。
- WS-Management の設定を true に設定
\<localhost|computername\>\Service\Auth\CredSSP
します。
Type: | String |
Accepted values: | Client, Server |
Position: | 0 |
Default value: | None |
Required: | True |
Accept pipeline input: | False |
Accept wildcard characters: | False |
入力
None
このコマンドレットにオブジェクトをパイプすることはできません。
出力
CredSSP 認証が正常に有効になっている場合、このコマンドレットは XMLElement オブジェクトを返します。
メモ
CredSSP 認証を無効にするには、コマンドレットを Disable-WSManCredSSP
使用します。
関連リンク
PowerShell
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示