Enable-WSManCredSSP
Włącza uwierzytelnianie dostawcy obsługi zabezpieczeń poświadczeń (CredSSP) na komputerze.
Składnia
Enable-WSManCredSSP
[[-DelegateComputer] <String[]>]
[-Force]
[-Role] <String>
[<CommonParameters>] Opis
To polecenie cmdlet jest dostępne tylko na platformie Windows.
Polecenie Enable-WSManCredSSP cmdlet włącza uwierzytelnianie CredSSP na kliencie lub na komputerze serwera.
Gdy jest używane uwierzytelnianie CredSSP, poświadczenia użytkownika są przekazywane do komputera zdalnego do uwierzytelnienia. Ten typ uwierzytelniania jest przeznaczony dla poleceń, które tworzą sesję zdalną z innej sesji zdalnej. Jeśli na przykład chcesz uruchomić zadanie w tle na komputerze zdalnym, użyj tego rodzaju uwierzytelniania.
Enable-WSManCredSSP Program może włączyć protokół CredSSP na kliencie lub serwerze. Aby włączyć protokół CredSSP na kliencie, określ klienta w parametrze Rola . Klienci delegować jawne poświadczenia do serwera po osiągnięciu uwierzytelniania serwera. Aby włączyć protokół CredSSP na serwerze, określ opcję Serwer w parametrze Rola . Serwer działa jako pełnomocnik dla klientów. Aby uzyskać więcej informacji, zobacz Role in the Parameters section ( Rola w sekcji Parametry).
Przestroga
Uwierzytelnianie CredSSP deleguje poświadczenia użytkownika z komputera lokalnego do komputera zdalnego. To rozwiązanie zwiększa ryzyko bezpieczeństwa operacji zdalnej. W przypadku naruszenia zabezpieczeń komputera zdalnego po przekazaniu do niego poświadczeń można użyć poświadczeń do kontrolowania sesji sieciowej.
Przykłady
Przykład 1: Delegowanie poświadczeń klienta
W tym przykładzie można delegować poświadczenia klienta do komputera przy użyciu w pełni kwalifikowanej nazwy domeny.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "Server02.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : truePrzykład 2. Delegowanie poświadczeń klienta do wszystkich komputerów w domenie
W tym przykładzie można delegować poświadczenia klienta do wszystkich komputerów w domenie fabrikam.com . Gwiazdka (*) symbol wieloznaczny określa wszystkie komputery.
Uwaga
Używanie symboli wieloznacznych z parametrem DelegateComputer może włączyć protokół CredSSP na więcej komputerów niż jest to konieczne.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "*.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : truePrzykład 3. Delegowanie poświadczeń klienta na wiele komputerów
W tym przykładzie można delegować poświadczenia klienta do wielu komputerów.
$servers = "server02.fabrikam.com", "server03.fabrikam.com", "server04.fabrikam.com"
Enable-WSManCredSSP -Role "Client" -DelegateComputer $servers
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueZmienna $servers zawiera listę nazw serwerów. Enable-WSManCredSSP używa parametru Rola , aby określić rolę klienta . Komputer DelegateComputer pobiera nazwy komputerów ze zmiennej $servers .
Przykład 4. Zezwalanie komputerowi na działanie jako pełnomocnik
W tym przykładzie komputer może pełnić rolę pełnomocnika dla innego. Polecenie Enable-WSManCredSSP cmdlet, pokazane we wcześniejszych przykładach, włącza tylko uwierzytelnianie CredSSP na kliencie i określa komputery zdalne, które mogą działać w jego imieniu. Aby komputer zdalny działał jako pełnomocnik klienta, element CredSSP w węźle Usługi narzędzia WSMan musi mieć wartość true. W tym przykładzie element CredSSP w węźle Usługa narzędzia WSMan ma wartość true.
Enable-WSManCredSSP -Role "Server"Przykład 5. Zezwalanie komputerowi na działanie jako pełnomocnik przy użyciu Set-Item
W tym przykładzie komputer może pełnić rolę pełnomocnika dla innego komputera. Polecenia Enable-WSManCredSSP przedstawione we wcześniejszych przykładach umożliwiają uwierzytelnianie CredSSP tylko na komputerze klienckim i określają komputery zdalne, które mogą działać w imieniu komputera klienckiego. Aby komputer zdalny działał jako pełnomocnik dla komputera klienckiego, element CredSSP w katalogu usługi dostawcy WSMan musi mieć wartość true.
Connect-WSMan -ComputerName "server02"
Set-Item -Path "WSMan:\server02\service\auth\credSSP" -Value $TrueConnect-WSMan Tworzy połączenie z komputerem zdalnym server02. Set-Item używa parametru Path w celu określenia lokalizacji dostawcy WSMan . Parametr Value ustawia wartość true ustawienia usługi .
Parametry
-DelegateComputer
Określa serwery, do których są delegowane poświadczenia klienta. Najlepszym rozwiązaniem jest użycie w pełni kwalifikowanych nazw domen.
Symbole wieloznaczne są akceptowane, ale można włączyć protokół CredSSP na więcej komputerach niż jest to konieczne.
Jeśli parametr rola to Klient, należy określić ten parametr. Jeśli rola jest serwerem, nie należy określać tego parametru.
| Type: | String[] |
| Position: | 1 |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | True |
-Force
Wymusza uruchomienie polecenia bez monitowania o potwierdzenie użytkownika.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | False |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-Role
Określa, czy włączyć credSSP jako klient, czy jako serwer. Dopuszczalne wartości tego parametru to: Klient i Serwer.
W przypadku określenia klienta zostaną wykonane następujące akcje. Te ustawienia umożliwiają klientowi delegowanie jawnych poświadczeń do serwera po osiągnięciu uwierzytelniania serwera.
- Włącza protokół CredSSP na kliencie.
- Ustawia ustawienie
\<localhost|computername\>\Client\Auth\CredSSPWS-Management na true. - Ustawia zasady Windows CredSSP AllowFreshCredentials na WSMan/Delegate na kliencie.
Jeśli określisz serwer, zostaną wykonane następujące akcje. To ustawienie zasad umożliwia serwerowi działanie jako pełnomocnik dla klientów.
- Włącza protokół CredSSP na serwerze.
- Ustawia ustawienie
\<localhost|computername\>\Service\Auth\CredSSPWS-Management na true.
| Type: | String |
| Accepted values: | Client, Server |
| Position: | 0 |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
Dane wejściowe
None
Nie można potokować obiektów do tego polecenia cmdlet.
Dane wyjściowe
Jeśli uwierzytelnianie CredSSP zostało pomyślnie włączone, to polecenie cmdlet zwraca obiekt XMLElement .
Uwagi
Aby wyłączyć uwierzytelnianie CredSSP, użyj Disable-WSManCredSSP polecenia cmdlet .