Enable-WSManCredSSP
コンピューターで資格情報セキュリティ サポート プロバイダー (CredSSP) 認証を有効にします。
構文
Enable-WSManCredSSP
[[-DelegateComputer] <String[]>]
[-Force]
[-Role] <String>
[<CommonParameters>] 説明
このコマンドレットは、Windows プラットフォームでのみ使用できます。
コマンドレットは Enable-WSManCredSSP 、クライアントまたはサーバー コンピューターで CredSSP 認証を有効にします。
CredSSP 認証を使用すると、認証対象のリモート コンピューターにユーザー資格情報が渡されます。 この種類の認証は、別のリモート セッションからリモート セッションを作成するコマンド用に設計されています。 たとえば、リモート コンピューターでバックグラウンド ジョブを実行する場合は、この種の認証を使用します。
Enable-WSManCredSSP は、 クライアント または サーバーで CredSSP を有効にすることができます。 クライアントで CredSSP を有効にするには、Role パラメーターで Client を指定します。 サーバー認証が行われると、クライアントは明示的な資格情報をサーバーに委任します。 サーバーで CredSSP を有効にするには、Role パラメーターで Server を指定します。 サーバーは、クライアントの代理人として機能します。 詳細については、「パラメーター」セクションの 「ロール 」を参照してください。
注意事項
CredSSP 認証は、ローカル コンピューターからリモート コンピューターにユーザー資格情報を委任します。 そのため、リモート操作のセキュリティ リスクが高まります。 リモート コンピューターのセキュリティが低下している場合は、そのリモート コンピューターに渡された資格情報を使用してネットワーク セッションが制御される場合があります。
例
例 1: クライアント資格情報を委任する
この例では、完全修飾ドメイン名を使用して、クライアント資格情報をコンピューターに委任できます。
Enable-WSManCredSSP -Role "Client" -DelegateComputer "Server02.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : true例 2: ドメイン内のすべてのコンピューターにクライアント資格情報を委任する
この例では、 fabrikam.com ドメイン内 のすべてのコンピューターにクライアント資格情報を委任できます。 アスタリスク (*) ワイルドカードは、すべてのコンピューターを指定します。
注意
DelegateComputer パラメーターでワイルドカードを使用すると、必要以上に多くのコンピューターで CredSSP を有効にすることができます。
Enable-WSManCredSSP -Role "Client" -DelegateComputer "*.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : true例 3: クライアント資格情報を複数のコンピューターに委任する
この例では、クライアント資格情報を複数のコンピューターに委任できます。
$servers = "server02.fabrikam.com", "server03.fabrikam.com", "server04.fabrikam.com"
Enable-WSManCredSSP -Role "Client" -DelegateComputer $servers
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : true変数には $servers 、サーバー名の一覧が含まれています。 Enable-WSManCredSSP では、 Role パラメーターを使用して クライアント ロールを指定します。 DelegateComputer は、 変数からコンピューター名を$servers取得します。
例 4: コンピューターが代理人として機能することを許可する
この例では、コンピューターが別の代理人として機能できるようにします。 前の例で示したコマンドレットは Enable-WSManCredSSP 、クライアントで CredSSP 認証のみを有効にし、その代わりに動作できるリモート コンピューターを指定します。 リモート コンピューターをクライアントの代理人として機能させるには、WSMan の サービス ノードの CredSSP 項目を true に設定する必要があります。 次の使用例は、WSMan の サービス ノードの CredSSP 項目を true に設定します。
Enable-WSManCredSSP -Role "Server"例 5: コンピューターが Set-Item を使用して代理人として機能することを許可する
この例では、コンピューターを別のコンピューターの代理人として機能できます。 前の例で示したコマンドは Enable-WSManCredSSP 、クライアント コンピューターでのみ CredSSP 認証を有効にし、クライアント コンピューターの代わりに動作できるリモート コンピューターを指定します。 リモート コンピューターがクライアント コンピューターの代理として動作するためには、WSMan プロバイダーの Service ディレクトリの CredSSP 項目を true に設定する必要があります。
Connect-WSMan -ComputerName "server02"
Set-Item -Path "WSMan:\server02\service\auth\credSSP" -Value $TrueConnect-WSMan は、リモート コンピューター server02 への接続を作成します。 Set-Item では、 Path パラメーターを使用して WSMan プロバイダーの場所を指定します。 Value パラメーターは、サービス設定を true に設定します。
パラメーター
-DelegateComputer
クライアント資格情報を委任するサーバーを指定します。 ベスト プラクティスは、完全修飾ドメイン名を使用する方法です。
ワイルドカードは受け入れられますが、必要以上に多くのコンピューターで CredSSP を有効にすることができます。
Role パラメーターが Client の場合は、このパラメーターを指定する必要があります。 Role が Server の場合は、このパラメーターを指定しないでください。
| Type: | String[] |
| Position: | 1 |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | True |
-Force
ユーザーに確認せずに、直ちにコマンドを実行します。
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | False |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-Role
CredSSP をクライアントとして有効にするか、サーバーとして有効にするかを指定します。 このパラメーターに使用できる値は、 Client と Server です。
Client を指定すると、次のアクションが実行されます。 これらの設定では、サーバー認証が実行されるときに、クライアントがサーバーに明示的な資格情報を委任することが許可されます。
- クライアントで CredSSP を有効にします。
- WS-Management 設定を true に設定
\<localhost|computername\>\Client\Auth\CredSSPします。 - Windows CredSSP ポリシー AllowFreshCredentials をクライアントの WSMan/Delegate に設定します。
サーバーを指定すると、次のアクションが実行されます。 このポリシー設定では、サーバーがクライアントの代理として動作することが許可されます。
- サーバーで CredSSP を有効にします。
- WS-Management 設定を true に設定
\<localhost|computername\>\Service\Auth\CredSSPします。
| Type: | String |
| Accepted values: | Client, Server |
| Position: | 0 |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
入力
None
オブジェクトをこのコマンドレットにパイプすることはできません。
出力
CredSSP 認証が正常に有効になっている場合、このコマンドレットは XMLElement オブジェクトを返します。
メモ
CredSSP 認証を無効にするには、 コマンドレットを使用します Disable-WSManCredSSP 。