Enable-WSManCredSSP

モジュール:

Microsoft.WSMan.Management

コンピューターで資格情報セキュリティ サポート プロバイダー (CredSSP) 認証を有効にします。

構文

Enable-WSManCredSSP
      [[-DelegateComputer] <String[]>]
      [-Force]
      [-Role] <String>
      [<CommonParameters>]

説明

このコマンドレットは、Windows プラットフォームでのみ使用できます。

このコマンドレットは Enable-WSManCredSSP 、クライアントまたはサーバー コンピューターで CredSSP 認証を有効にします。 CredSSP 認証を使用すると、認証されるリモート コンピューターにユーザー資格情報が渡されます。 この種類の認証は、別のリモート セッションからリモート セッションを作成するコマンド用に設計されています。 たとえば、リモート コンピューターでバックグラウンド ジョブを実行する場合は、この種の認証を使用します。

Enable-WSManCredSSPは、クライアントまたはサーバーで CredSSP を有効にすることができます。 クライアントで CredSSP を有効にするには、Role パラメーターで Client を指定します。 クライアントは、サーバー認証が実現されたときに、明示的な資格情報をサーバーに委任します。 サーバーで CredSSP を有効にするには、Role パラメーターで Server を指定します。 サーバーは、クライアントのデリゲートとして機能します。 詳細については、「パラメーター」セクションの「ロール」を参照してください。

注意

CredSSP 認証は、ローカル コンピューターからリモート コンピューターにユーザー資格情報を委任します。 そのため、リモート操作のセキュリティ リスクが高まります。 リモート コンピューターのセキュリティが低下している場合は、そのリモート コンピューターに渡された資格情報を使用してネットワーク セッションが制御される場合があります。

例

例 1: クライアント資格情報を委任する

この例では、完全修飾 doメイン 名を使用して、クライアント資格情報をコンピューターに委任できます。

Enable-WSManCredSSP -Role "Client" -DelegateComputer "Server02.fabrikam.com"

cfg         : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

例 2: do 内のすべてのコンピューターにクライアント資格情報を委任するメイン

この例では、クライアント資格情報を fabrikam.com のすべてのコンピューターに委任できますメイン。 アスタリスク (*) wildカード はすべてのコンピューターを指定します。

Note

DelegateComputer パラメーターでワイルドカードを使用すると、必要以上に多くのコンピューターで CredSSP を有効にすることができます。

Enable-WSManCredSSP -Role "Client" -DelegateComputer "*.fabrikam.com"

cfg         : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

例 3: クライアント資格情報を複数のコンピューターに委任する

この例では、クライアント資格情報を複数のコンピューターに委任できます。

$servers = "server02.fabrikam.com", "server03.fabrikam.com", "server04.fabrikam.com"
Enable-WSManCredSSP -Role "Client" -DelegateComputer $servers

cfg         : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

この変数には $servers 、サーバー名の一覧が含まれています。 Enable-WSManCredSSPでは、Role パラメーターを使用してクライアント ロールを指定します。 DelegateComputer は、変数からコンピューター名を$servers取得します。

例 4: コンピューターが代理人として機能することを許可する

この例では、コンピューターが別のコンピューターの代理人として機能することを許可します。 前の例で示したコマンドレットは Enable-WSManCredSSP 、クライアントで CredSSP 認証のみを有効にし、その代わりに動作できるリモート コンピューターを指定します。 リモート コンピューターがクライアントのデリゲートとして機能するためには、WSMan のサービス ノードの CredSSP 項目を true に設定する必要があります。 次の使用例は、WSMan のサービス ノードの CredSSP 項目を true に設定します。

Enable-WSManCredSSP -Role "Server"

例 5: Set-Item を使用してコンピューターがデリゲートとして機能することを許可する

この例では、コンピューターが別のコンピューターの代理人として機能することを許可します。 前の例で示したコマンドは Enable-WSManCredSSP 、クライアント コンピューターでのみ CredSSP 認証を有効にし、クライアント コンピューターの代わりに動作できるリモート コンピューターを指定します。 リモート コンピューターがクライアント コンピューターの代理として動作するためには、WSMan プロバイダーの Service ディレクトリの CredSSP 項目を true に設定する必要があります。

Connect-WSMan -ComputerName "server02"
Set-Item -Path "WSMan:\server02\service\auth\credSSP" -Value $True

Connect-WSMan は、リモート コンピューター server02 への接続を作成します。 Set-Itemでは、Path パラメーターを使用して WSMan プロバイダーの場所を指定します。 Value パラメーターは、サービス設定を true に設定します。

パラメーター

-DelegateComputer

クライアント資格情報を委任するサーバーを指定します。 ベスト プラクティスは、完全修飾 doメイン 名を使用する方法です。

ワイルドカードは受け入れられますが、必要以上に多くのコンピューターで CredSSP を有効にすることができます。

Role パラメーターが Client の場合は、このパラメーターを指定する必要があります。 Role が Server の場合は、このパラメーターを指定しないでください。

Type:	String[]
Position:	1
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	True

-Force

ユーザーに確認せずに、直ちにコマンドを実行します。

Type:	SwitchParameter
Position:	Named
Default value:	False
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False

-Role

CredSSP をクライアントとして有効にするか、サーバーとして有効にするかを指定します。 このパラメーターに使用できる値は、 Client と Server です。

Client を指定すると、次のアクションが実行されます。 これらの設定では、サーバー認証が実行されるときに、クライアントがサーバーに明示的な資格情報を委任することが許可されます。

• クライアントで CredSSP を有効にします。
• WS-Management の設定を true に設定 \<localhost|computername\>\Client\Auth\CredSSP します。
• Windows CredSSP ポリシー AllowFreshCredentials を クライアントの WSMan/Delegate に設定します。

サーバーを指定すると、次のアクションが実行されます。 このポリシー設定では、サーバーがクライアントの代理として動作することが許可されます。

• サーバーで CredSSP を有効にします。
• WS-Management の設定を true に設定 \<localhost|computername\>\Service\Auth\CredSSP します。

Type:	String
Accepted values:	Client, Server
Position:	0
Default value:	None
Required:	True
Accept pipeline input:	False
Accept wildcard characters:	False

入力

None

このコマンドレットにオブジェクトをパイプすることはできません。

出力

XmlElement

CredSSP 認証が正常に有効になっている場合、このコマンドレットは XMLElement オブジェクトを返します。

メモ

CredSSP 認証を無効にするには、コマンドレットを Disable-WSManCredSSP 使用します。

関連リンク

• Connect-WSMan
• Disable-WSManCredSSP
• Disconnect-WSMan
• Get-WSManCredSSP
• Get-WSManInstance
• Invoke-WSManAction
• New-WSManInstance
• New-WSManSessionOption
• Remove-WSManInstance
• Set-WSManInstance
• Set-WSManQuickConfig
• Test-WSMan