Enable-WSManCredSSP
Habilita a autenticação CredSSP (Credential Security Support Provider) em um computador.
Sintaxe
Enable-WSManCredSSP
[[-DelegateComputer] <String[]>]
[-Force]
[-Role] <String>
[<CommonParameters>] Description
Este cmdlet só está disponível na plataforma Windows.
O Enable-WSManCredSSP cmdlet habilita a autenticação CredSSP em um cliente ou em um computador servidor.
Quando a autenticação CredSSP é usada, as credenciais do usuário são passadas para um computador remoto para serem autenticadas. Esse tipo de autenticação foi projetado para comandos que criam uma sessão remota a partir de outra sessão remota. Por exemplo, se você quiser executar um trabalho em segundo plano em um computador remoto, use esse tipo de autenticação.
Enable-WSManCredSSPpode habilitar o CredSSP em um cliente ou servidor. Para habilitar CredSSP em um cliente, especifique Client no parâmetro Role . Os clientes delegam credenciais explícitas a um servidor quando a autenticação do servidor é alcançada. Para habilitar CredSSP em um servidor, especifique Server no parâmetro Role . Um servidor atua como um delegado para clientes. Para obter mais detalhes, consulte Função na seção Parâmetros.
Atenção
A autenticação CredSSP delega as credenciais do usuário do computador local para um computador remoto. Esta prática aumenta o risco de segurança da operação remota. Se o computador remoto estiver comprometido, quando as credenciais forem passadas para ele, as credenciais poderão ser usadas para controlar a sessão de rede.
Exemplos
Exemplo 1: Delegar credenciais de cliente
Este exemplo permite que as credenciais do cliente sejam delegadas a um computador usando o nome de domínio totalmente qualificado.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "Server02.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueExemplo 2: Delegar credenciais de cliente a todos os computadores em um domínio
Este exemplo permite que as credenciais do cliente sejam delegadas a todos os computadores no domínio fabrikam.com . O curinga asterisco (*) especifica todos os computadores.
Nota
O uso de curingas com o parâmetro DelegateComputer pode habilitar o CredSSP em mais computadores do que o necessário.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "*.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueExemplo 3: Delegar credenciais de cliente a vários computadores
Este exemplo permite que as credenciais do cliente sejam delegadas a vários computadores.
$servers = "server02.fabrikam.com", "server03.fabrikam.com", "server04.fabrikam.com"
Enable-WSManCredSSP -Role "Client" -DelegateComputer $servers
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueA $servers variável contém uma lista de nomes de servidores. Enable-WSManCredSSP usa o parâmetro Role para especificar a função Client . O DelegateComputer obtém os nomes de computador da $servers variável.
Exemplo 4: Permitir que um computador atue como delegado
Este exemplo permite que um computador atue como delegado para outro. O Enable-WSManCredSSP cmdlet, mostrado nos exemplos anteriores, habilita apenas a autenticação CredSSP no cliente e especifica os computadores remotos que podem agir em seu nome. Para que o computador remoto atue como um delegado para o cliente, o item CredSSP no nó Serviço do WSMan deve ser definido como true. Este exemplo define o item CredSSP no nó Service do WSMan como true.
Enable-WSManCredSSP -Role "Server"Exemplo 5: Permitir que um computador atue como delegado usando Set-Item
Este exemplo permite que um computador atue como delegado para outro computador. Os Enable-WSManCredSSP comandos, mostrados nos exemplos anteriores, habilitam a autenticação CredSSP somente no computador cliente e especificam os computadores remotos que podem agir em nome do computador cliente. Para que o computador remoto atue como um delegado para o computador cliente, o item CredSSP no diretório Service do provedor WSMan deve ser definido como true.
Connect-WSMan -ComputerName "server02"
Set-Item -Path "WSMan:\server02\service\auth\credSSP" -Value $TrueConnect-WSMan Cria uma conexão com o computador remoto, Server02. Set-Item usa o parâmetro Path para especificar o local do provedor WSMan . O parâmetro Value define a configuração Service como true.
Parâmetros
-DelegateComputer
Especifica os servidores aos quais as credenciais do cliente são delegadas. A melhor prática é usar nomes de domínio totalmente qualificados.
Curingas são aceitos, mas podem habilitar o CredSSP em mais computadores do que o necessário.
Se o parâmetro Role for Client, você deverá especificar esse parâmetro. Se Role for Server, não especifique esse parâmetro.
| Tipo: | String[] |
| Position: | 1 |
| Default value: | None |
| Necessário: | False |
| Aceitar entrada de pipeline: | False |
| Aceitar carateres universais: | True |
-Force
Força o comando a ser executado sem pedir a confirmação do usuário.
| Tipo: | SwitchParameter |
| Position: | Named |
| Default value: | False |
| Necessário: | False |
| Aceitar entrada de pipeline: | False |
| Aceitar carateres universais: | False |
-Role
Especifica se o CredSSP deve ser habilitado como um cliente ou como um servidor. Os valores aceitáveis para este parâmetro são: Cliente e Servidor.
Se você especificar Cliente, as seguintes ações serão executadas. Essas configurações permitem que o cliente delegue credenciais explícitas a um servidor quando a autenticação do servidor é alcançada.
- Habilita o CredSSP no cliente.
- Define a configuração
\<localhost|computername\>\Client\Auth\CredSSPWS-Management como true. - Define a política CredSSP do Windows AllowFreshCredentials como WSMan/Delegate no cliente.
Se você especificar Servidor, as seguintes ações serão executadas. Esta definição de política permite que o servidor atue como um delegado para clientes.
- Habilita o CredSSP no servidor.
- Define a configuração
\<localhost|computername\>\Service\Auth\CredSSPWS-Management como true.
| Tipo: | String |
| Valores aceites: | Client, Server |
| Position: | 0 |
| Default value: | None |
| Necessário: | True |
| Aceitar entrada de pipeline: | False |
| Aceitar carateres universais: | False |
Entradas
None
Não é possível canalizar objetos para este cmdlet.
Saídas
Se a autenticação CredSSP for habilitada com êxito, esse cmdlet retornará um objeto XMLElement .
Notas
Para desabilitar a autenticação CredSSP, use o Disable-WSManCredSSP cmdlet.
